Главная страница » IOC
0
2 месяца
IOC

Члены Black Basta (RaaS) использовали автоматизированную систему грубого форсирования, чтобы атаковать пограничные сетевые устройства

security

11 февраля 2025 года русскоязычный актер, использующий Telegram-аккаунт @ExploitWhispers, опубликовал в сети журналы внутренних чатов группы Black Basta Ransomware-as-a-Service (RaaS).

Содержание
  1. Описание
  2. Indicators of Compromise
  3. IPv4
  4. Domains

Описание

Эти документы, охватывающие период с сентября 2023 года по сентябрь 2024 года, проливают свет на тактику работы группы. Анализируя журналы, эксперты EclecticIQ обнаружили фреймворк для брутфорса, который Black Basta использовали с 2023 года и назвали BRUTED. Группа Black Basta нацелена на пограничные сетевые устройства для атак с использованием учетных данных и последующего развертывания программ-вымогателей.

Black Basta - это группа ransomware-as-a-service (RaaS), которая появилась в 2022 году и стала известной своей тактикой двойного вымогательства. Gуппа зашифровывает данные жертв и угрожает опубликовать конфиденциальную информацию в случае отказа от выплаты выкупа. По мнению экспертов EclecticIQ, группа Black Basta скорее всего нацелена на сектор бизнес-услуг и промышленное оборудование, так как это позволит им получить финансовую и операционную выгоду.

Утечка внутренней коммуникации группы раскрыла важные оперативные детали и внутреннюю борьбу за власть. Это также может повлечь за собой участие правоохранительных органов. Утечка дает ценную информацию о методах атак и финансовых спорах группы. Кроме того, EclecticIQ обнаружили ранее неизвестную инфраструктуру для брутфорса, которую Black Basta использовали для своих атак.

Обнародование журналов Black Basta дает специалистам по безопасности и правоохранительным органам ценные сведения о тактике, технике и процедурах группы. Однако долгосрочная жизнеспособность Black Basta остается неопределенной. Открытие информации об инфраструктуре и операциях группы скорее всего помешает ее краткосрочному восстановлению, но бывшие члены группы могут вступить в другие экосистемы RaaS и продолжить свою преступную деятельность.

Indicators of Compromise

IPv4

  • 2.57.149.22
  • 2.57.149.231
  • 2.57.149.237
  • 2.57.149.25
  • 45.140.17.23
  • 45.140.17.24
  • 45.140.17.40
  • 45.155.249.55

Domains

  • bionetcloud.com
  • dns.artstrailreviews.com
  • dns.clearsystemwo.net
  • dns.gift4animals.com
  • dns.investsystemus.net
  • dns.realeinvestment.net
  • dns.wellsystemte.net
  • fuck-you-usa.com
  • getnationalresearch.com
  • septcntr.com
  • wordst7512.net
Комментарии: 0
Похожие записи
0
2 дня
IOC

APT-кампания Earth Kurma нацелена на правительственный и телекоммуникационный секторы Юго-Восточной Азии

security
APT-группа Earth Kurma, активная в Юго-Восточной Азии, атакует правительственные и телекоммуникационные организации с использованием вредоносных программ, руткитов и облачных сервисов.
0
2 дня
IOC

ToyMaker, брокер первоначального доступа, работающий в сговоре с группировками двойных вымогателей

ransomware
В 2023 году Cisco Talos обнаружила широкомасштабную компрометацию критической инфраструктурной организации, в ходе которой было обнаружено наличие нескольких угроз.
0
5 дней
IOC

Shedding Zmiy использовал руткит Puma для атаки на IT-компанию

security
В ноябре 2024 года специалисты Solar 4RAYS были вызваны для расследования инцидента в одной из IT-компаний. В ходе расследования выяснилось, что на связь выходили известные C2, принадлежащие группе Shedding Zmiy.