11 февраля 2025 года русскоязычный актер, использующий Telegram-аккаунт @ExploitWhispers, опубликовал в сети журналы внутренних чатов группы Black Basta Ransomware-as-a-Service (RaaS).
Описание
Эти документы, охватывающие период с сентября 2023 года по сентябрь 2024 года, проливают свет на тактику работы группы. Анализируя журналы, эксперты EclecticIQ обнаружили фреймворк для брутфорса, который Black Basta использовали с 2023 года и назвали BRUTED. Группа Black Basta нацелена на пограничные сетевые устройства для атак с использованием учетных данных и последующего развертывания программ-вымогателей.
Black Basta - это группа ransomware-as-a-service (RaaS), которая появилась в 2022 году и стала известной своей тактикой двойного вымогательства. Gуппа зашифровывает данные жертв и угрожает опубликовать конфиденциальную информацию в случае отказа от выплаты выкупа. По мнению экспертов EclecticIQ, группа Black Basta скорее всего нацелена на сектор бизнес-услуг и промышленное оборудование, так как это позволит им получить финансовую и операционную выгоду.
Утечка внутренней коммуникации группы раскрыла важные оперативные детали и внутреннюю борьбу за власть. Это также может повлечь за собой участие правоохранительных органов. Утечка дает ценную информацию о методах атак и финансовых спорах группы. Кроме того, EclecticIQ обнаружили ранее неизвестную инфраструктуру для брутфорса, которую Black Basta использовали для своих атак.
Обнародование журналов Black Basta дает специалистам по безопасности и правоохранительным органам ценные сведения о тактике, технике и процедурах группы. Однако долгосрочная жизнеспособность Black Basta остается неопределенной. Открытие информации об инфраструктуре и операциях группы скорее всего помешает ее краткосрочному восстановлению, но бывшие члены группы могут вступить в другие экосистемы RaaS и продолжить свою преступную деятельность.
Indicators of Compromise
IPv4
- 2.57.149.22
- 2.57.149.231
- 2.57.149.237
- 2.57.149.25
- 45.140.17.23
- 45.140.17.24
- 45.140.17.40
- 45.155.249.55
Domains
- bionetcloud.com
- dns.artstrailreviews.com
- dns.clearsystemwo.net
- dns.gift4animals.com
- dns.investsystemus.net
- dns.realeinvestment.net
- dns.wellsystemte.net
- fuck-you-usa.com
- getnationalresearch.com
- septcntr.com
- wordst7512.net