Утечка данных Black Basta: новая угроза для бизнеса
Источник: blog.eclecticiq.com
11 февраля 2025 года в Telegram пользователь @ExploitWhispers опубликовал утечку, содержащую внутреннюю переписку группы Black Basta Ransomware-as-a-Service (RaaS). Утечка раскрыла важные оперативные детали и тактики, используемые группой в период с сентября 2023 по сентябрь 2024 года. В частности, в просочившихся чатах упоминается новая система брутфорсинга под названием BRUTED, используемая с 2023 года.
Что такое BRUTED?
Платформа BRUTED предназначена для автоматического сканирования и ввода учетных данных на периферийных сетевых устройствах, таких как:
- Брандмауэры
- VPN
Эта система позволяет Black Basta использовать слабые или повторно используемые учетные данные для получения первоначального доступа к сетям жертв, что облегчает дальнейшие перемещения внутри сети.
Тактика двойного вымогательства
Black Basta, действующая с апреля 2022 года, применяет двойную тактику вымогательства, шифруя данные жертв и угрожая раскрытием конфиденциальной информации в случае неуплаты выкупа. Аналитики отмечают, что группа уделяет особое внимание сектору бизнес-услуг, а также отраслям, таким как:
- Промышленное машиностроение
- Обрабатывающая промышленность
Это связано с тем, что сбои в этих отраслях существенно влияют на цепочки поставок, что усиливает давление на жертв.
Раскрытые детали внутренней структуры
В просочившихся журналах содержится информация о внутренней структуре Black Basta, включая:
- Руководящие роли
- Оперативные проблемы
Эти данные указывают на потенциальные сбои в работе группы и возможные переходы на сторону конкурирующих организаций. Утечка также раскрыла ключевые сервера, используемые для операций «грубой силы», включая IP-адреса, связанные с атаками на основе учетных данных.
Угрозы и рекомендации
Аналитики отметили, что усовершенствованный инструмент нацелен на множество решений удаленного доступа, что позволяет проводить систематические атаки на учетные данные в различных корпоративных средах. Платформа обладает возможностями, такими как:
- Смена прокси-сервера
- Автоматическое сканирование Интернета
- Генерация учетных данных
Эти функции повышают ее эффективность при проникновении в системы. Группа также использует известные уязвимости в периферийных сетевых устройствах, которые часто не имеют надежных мер безопасности, таких как обнаружение конечных точек и реагирование на них (EDR).
Как только Black Basta получает доступ, она нацеливается на гипервизоры ESXi, что позволяет им шифровать файловые системы и нарушать работу виртуализированных сред. Развертыванию программ-вымогателей способствуют различные пользовательские скрипты, ориентированные на максимальное оперативное воздействие и увеличение числа переговоров о выкупе.
В условиях растущей угрозы для организаций существует острая необходимость в укреплении безопасности своих периферийных устройств. Рекомендуется:
- Использовать надежные и уникальные пароли
- Регулярно ротации паролей
- Применять меры геоблокировки
Учитывая приемы и методы, используемые Black Basta, предприятия должны применять упреждающий подход для снижения риска заражения и предотвращения инцидентов с программами-вымогателями.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
