Утечка данных Black Basta: Методы, уязвимости и хроника преступлений

Утечка данных Black Basta: Методы, уязвимости и хроника преступлений

Недавняя утечка логов чатов группы вымогателей Black Basta раскрыла подробности их оперативной деятельности за период с 18 сентября 2023 года по 28 сентября 2024 года. Документ освещает не только использованные ими методы атак, но и инфраструктуру, на которой основаны их действия, а также выявленные уязвимости.

Финансовые уловки и целевые принципы

Согласно утечке, Black Basta использовала по меньшей мере 47 криптовалютных кошельков, накопив в результате незаконных транзакций около 38 миллионов долларов. Группа применяла аналитические инструменты с открытым исходным кодом, такие как ZoomInfo, для анализа доходности потенциальных жертв, что позволяло ей устанавливать требования о выкупе, основываясь на предполагаемых доходах целевых организаций.

Методы атак и социальная инженерия

Оперативная методология Black Basta включает в себя разные способы получения доступа:

  • Использование ChatGPT и внутренних скриптов для социальной инженерии;
  • “Бомбардировка электронной почты” — заполняя почтовый ящик цели тысячами электронных писем;
  • Выдача себя за ИТ-сотрудников, предлагая жертвам загрузить AnyDesk, что обеспечивает постоянный доступ.

Данные методы показывают, как группа адаптировала тактики социальной инженерии, используя человеческое поведение и распространенные инструменты удаленного администрирования для достижения своих целей.

Уязвимости и обсуждаемые эксплойты

Журналы зафиксировали регулярные обсуждения общедоступных эксплойтов для проверки концепции (PoC). Группа концентрировалась на уязвимостях, которые обеспечивают первоначальный доступ и возможность удаленного выполнения кода. Среди наиболее обсуждаемых уязвимостей:

  • CVE-2024-3400 в Palo Alto Networks GlobalProtect;
  • CVE-2022-27925, связанная с пакетом Zimbra для совместной работы.

Приверженность к существующим решениям

Black Basta явно предпочитала использовать существующие PoC, полагаясь на публично раскрытые уязвимости, вместо разработки уникальных методов эксплуатации. Примечательно, что во время обсуждений группа обращала внимание на уязвимости, связанные с продуктами Microsoft в значительной степени.

Обеспечение скрытности и сохранение в безопасности

В своих сообщениях группа выражала обеспокоенность по поводу обнаружения с помощью различных мер безопасности. Это свидетельствует о их активных попытках обойти системы защиты, используя инструменты анализа вредоносных программ, такие как VirusTotal и гибридный анализ. Кроме того, они продемонстрировали значительную зависимость от загрузчика вредоносных программ DarkGate, обмениваясь информацией о сборках и стратегиях избегания обнаружения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: