Утечка данных Black Basta: разоблачение секретов RaaS-группы

Источник: flare.io
20 февраля 2025 года мир кибербезопасности был ошеломлен значительной утечкой информации из группы программ-вымогателей Black Basta. Утечка, предположительно опубликованная человеком с псевдонимом ExploitWhispers, содержит досье из журналов чатов, охватывающих период с 18 сентября 2023 года по 28 сентября 2024 года. Публикация вызвана решением группы нацелиться на российские банки, что, по словам источников, перешло «красную черту».
Состояние группы и ушедшие в тень операции
Первоначальные оценки достоверности утечки указывают на то, что, хотя информация в основном точна, существует вероятность манипуляций с данными. Black Basta функционирует по модели Ransomware as a Service (RaaS) с апреля 2022 года, целясь на критически важные секторы, такие как:
- Здравоохранение
- Производство
Среди известных жертв группы — Ascension и Dish Network. Однако на начало 2025 года активность Black Basta значительно снизилась: новых требований о выкупе не поступало, а сайт утечки информации в настоящее время закрыт, что вызывает подозрения во внутренних беспорядках.
Структура и операции Black Basta
Внутренняя структура Black Basta высокоорганизована, с четким разделением функций от управления инфраструктурой до разработки вредоносных программ и ведения переговоров. Главным руководителем, как полагают, является человек по прозвищу Tramp, чье настоящее имя, возможно, Олег Нефедов — он предположительно находится в России.
Группа проводит различие между штатными сотрудниками и филиалами, действующими более независимо. Главное управление осуществляют ключевые сотрудники, которые контролируют различные аспекты операций:
- Первоначальный доступ
- Разработка вредоносных программ
- Методы обфускации
Технологии и инструменты
Журналы чатов также подтверждают использование известных инструментов, таких как Cobalt Strike, для установления контроля над скомпрометированными системами. Роли, описанные в утечке, включают:
- Руководство
- Управление инфраструктурой
- Специализированные функции с акцентом на социальную инженерию
Такие тактики, как олицетворение и прямое взаимодействие, направлены на развертывание вредоносного ПО для доступа к важным целям.
Заключение
Данная утечка не только раскрывает внутренние механизмы Black Basta, но и подтверждает, что значительная часть киберпреступной деятельности происходит за пределами общедоступных форумов. Информация, содержащаяся в утечке, служит важным источником данных о методологиях и рабочих процессах ведущей группы RaaS, отражая сложности, присущие современным киберпреступным предприятиям.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



