Утечка данных Black Basta: разоблачение секретов RaaS-группы

Утечка данных Black Basta: разоблачение секретов RaaS-группы

Источник: flare.io

20 февраля 2025 года мир кибербезопасности был ошеломлен значительной утечкой информации из группы программ-вымогателей Black Basta. Утечка, предположительно опубликованная человеком с псевдонимом ExploitWhispers, содержит досье из журналов чатов, охватывающих период с 18 сентября 2023 года по 28 сентября 2024 года. Публикация вызвана решением группы нацелиться на российские банки, что, по словам источников, перешло «красную черту».

Состояние группы и ушедшие в тень операции

Первоначальные оценки достоверности утечки указывают на то, что, хотя информация в основном точна, существует вероятность манипуляций с данными. Black Basta функционирует по модели Ransomware as a Service (RaaS) с апреля 2022 года, целясь на критически важные секторы, такие как:

  • Здравоохранение
  • Производство

Среди известных жертв группы — Ascension и Dish Network. Однако на начало 2025 года активность Black Basta значительно снизилась: новых требований о выкупе не поступало, а сайт утечки информации в настоящее время закрыт, что вызывает подозрения во внутренних беспорядках.

Структура и операции Black Basta

Внутренняя структура Black Basta высокоорганизована, с четким разделением функций от управления инфраструктурой до разработки вредоносных программ и ведения переговоров. Главным руководителем, как полагают, является человек по прозвищу Tramp, чье настоящее имя, возможно, Олег Нефедов — он предположительно находится в России.

Группа проводит различие между штатными сотрудниками и филиалами, действующими более независимо. Главное управление осуществляют ключевые сотрудники, которые контролируют различные аспекты операций:

  • Первоначальный доступ
  • Разработка вредоносных программ
  • Методы обфускации

Технологии и инструменты

Журналы чатов также подтверждают использование известных инструментов, таких как Cobalt Strike, для установления контроля над скомпрометированными системами. Роли, описанные в утечке, включают:

  • Руководство
  • Управление инфраструктурой
  • Специализированные функции с акцентом на социальную инженерию

Такие тактики, как олицетворение и прямое взаимодействие, направлены на развертывание вредоносного ПО для доступа к важным целям.

Заключение

Данная утечка не только раскрывает внутренние механизмы Black Basta, но и подтверждает, что значительная часть киберпреступной деятельности происходит за пределами общедоступных форумов. Информация, содержащаяся в утечке, служит важным источником данных о методологиях и рабочих процессах ведущей группы RaaS, отражая сложности, присущие современным киберпреступным предприятиям.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: