Главная страница » IOC
0
9 дней
IOC

Члены Black Basta (RaaS) использовали автоматизированную систему грубого форсирования, чтобы атаковать пограничные сетевые устройства

security

11 февраля 2025 года русскоязычный актер, использующий Telegram-аккаунт @ExploitWhispers, опубликовал в сети журналы внутренних чатов группы Black Basta Ransomware-as-a-Service (RaaS).

Описание

Эти документы, охватывающие период с сентября 2023 года по сентябрь 2024 года, проливают свет на тактику работы группы. Анализируя журналы, эксперты EclecticIQ обнаружили фреймворк для брутфорса, который Black Basta использовали с 2023 года и назвали BRUTED. Группа Black Basta нацелена на пограничные сетевые устройства для атак с использованием учетных данных и последующего развертывания программ-вымогателей.

Black Basta - это группа ransomware-as-a-service (RaaS), которая появилась в 2022 году и стала известной своей тактикой двойного вымогательства. Gуппа зашифровывает данные жертв и угрожает опубликовать конфиденциальную информацию в случае отказа от выплаты выкупа. По мнению экспертов EclecticIQ, группа Black Basta скорее всего нацелена на сектор бизнес-услуг и промышленное оборудование, так как это позволит им получить финансовую и операционную выгоду.

Утечка внутренней коммуникации группы раскрыла важные оперативные детали и внутреннюю борьбу за власть. Это также может повлечь за собой участие правоохранительных органов. Утечка дает ценную информацию о методах атак и финансовых спорах группы. Кроме того, EclecticIQ обнаружили ранее неизвестную инфраструктуру для брутфорса, которую Black Basta использовали для своих атак.

Обнародование журналов Black Basta дает специалистам по безопасности и правоохранительным органам ценные сведения о тактике, технике и процедурах группы. Однако долгосрочная жизнеспособность Black Basta остается неопределенной. Открытие информации об инфраструктуре и операциях группы скорее всего помешает ее краткосрочному восстановлению, но бывшие члены группы могут вступить в другие экосистемы RaaS и продолжить свою преступную деятельность.

Indicators of Compromise

IPv4

  • 2.57.149.22
  • 2.57.149.231
  • 2.57.149.237
  • 2.57.149.25
  • 45.140.17.23
  • 45.140.17.24
  • 45.140.17.40
  • 45.155.249.55

Domains

  • bionetcloud.com
  • dns.artstrailreviews.com
  • dns.clearsystemwo.net
  • dns.gift4animals.com
  • dns.investsystemus.net
  • dns.realeinvestment.net
  • dns.wellsystemte.net
  • fuck-you-usa.com
  • getnationalresearch.com
  • septcntr.com
  • wordst7512.net
Комментарии: 0
Похожие записи
0
2 дня
IOC

UAT-5918 нацелен на объекты критической инфраструктуры на Тайване

security
Cisco Talos обнаружила долгосрочную вредоносную кампанию, которую они отслеживают под идентификатором UAT-5918. Эта кампания, активная по крайней мере с 2023 года, преследует цель получить устойчивый доступ
0
3 дня
IOC

Dragon RaaS APT IOCs

security
Dragon RaaS, также известная как DragonRansom или Dragon Team, - это группа разработчиков, занимающихся бизнесом ransomware-as-a-service (RaaS). Они действуют в серой зоне между хактивизмом и киберпреступностью.