Didelis Black Basta nutekėjimas atskleidžia vidinį išpirkos programų milžino veikimą

Retas ir stulbinantis vystymasis internete buvo paviešintas vidinių pokalbių žurnalų iš Black Basta ransomware gaujos , leidžiančios precedento neturintį žvilgsnį į vienos pavojingiausių šiandien veikiančių kibernetinių nusikaltėlių organizacijų užkulisius. Nutekėjimas jau lyginamas su liūdnai pagarsėjusiais 2022 m. pradžios „Conti“ nutekėjimais, kurie atskleidė kito liūdnai pagarsėjusio išpirkos reikalaujančio sindikato vidines operacijas.

Šis naujausias apreiškimas, viešai paskelbtas 2025 m. vasario 20 d., buvo gautas iš pranešėjo, žinomo kaip ExploitWhispers, kuris, kaip pranešama, išleido 47 MB JSON failą, kuriame yra daugiau nei 200 000 pokalbių pranešimų, kuriais pasikeitė Black Basta nariai. Pokalbiai apima visus veiklos metus, nuo 2023 m. rugsėjo iki 2024 m. rugsėjo mėn., ir dabar juos kruopščiai analizuoja kibernetinio saugumo tyrinėtojai visame pasaulyje.

Kodėl Black Basta buvo atskleista?

Remiantis pranešimais, kuriais dalijamasi su nutekėjusiu pranešimu, atskleidimo motyvas gali kilti dėl „Black Basta“ sprendimo nusitaikyti į Rusijos bankus – tai žingsnis, kuris rusakalbių kibernetinių nusikaltimų pasaulyje dažnai laikomas nedovanotina klaida. Jei tiksliai, tai paaiškintų, kodėl viešai neatskleista informacija nusprendė nutekinti tokią jautrią medžiagą.

Be to, grėsmių žvalgybos įmonė „Prodaft“ pažymi, kad „Black Basta“ nuo 2025 m. pradžios dažniausiai buvo neaktyvi, tariamai dėl vidinių ginčų. Užkulisiuose vyraujant chaosui, nutekėjimas prideda dar vieną netikrumą dėl grupės ateities.

Ką atskleidžia nutekėję pokalbiai

Nutekėjimas yra ne tik žavus žvilgsnis į Black Basta operatorių asmenybes ir kasdienius pokalbius – tai planas, kaip gauja vykdo atakas, atrenka taikinius ir išnaudoja pažeidžiamumą.

Apsaugos įmonės „VulnCheck“ ir „Qualys“ jau paskelbė ankstyvąsias išvadas, įvertindamos žurnaluose palaidotas technines detales. Remiantis „VulnCheck“ analize, pokalbiuose minimi 62 unikalūs CVE (bendrieji pažeidžiamumo ir poveikio atvejai), kai kurie iš jų buvo aptariami per kelias dienas nuo jų paskelbimo viešai, o kai kurie dar prieš oficialiai paskelbiant.

Dar labiau nerimą kelia tai, kad žurnalai rodo, kad „Black Basta“ remiasi ne tik viešai žinomais išnaudojimais. Yra aiškių įrodymų, kad grupė turi išteklių, kad galėtų kurti naujus išnaudojimus, ir diskutavo apie išskirtinių pažeidžiamumų pirkimą iš kitų grėsmės dalyvių.

„Qualys“ žengė žingsnį toliau, sudarydamas gynėjų prioritetų sąrašą, įskaitant:

  • 20 geriausių CVE, kuriuos reikia nedelsiant pataisyti.
  • 10 geriausių klaidingų konfigūracijų, kurias dažnai naudoja Black Basta.
  • Pilnas visų nutekėjime minimų pažeidžiamumų priedas.

Apsaugos komandoms šis nutekėjimas suteikia retą galimybę tiksliai suprasti, kurios silpnosios vietos yra patraukliausios išpirkos reikalaujančių programų operatoriams ir atitinkamai teikti pirmenybę gynybai.

Ransomware operacijų atvejo tyrimas

Be pažeidžiamumo, mokslininkai, tokie kaip Kela ir BushidoToken, išanalizavo grupės veiklos planą. Vienas išsamus pavyzdys yra 2023 m. įvykdyta ataka prieš Brazilijos įmonę, kuri prasidėjo nuo kredencialų, pavogtų per „infostealer“ kenkėjišką programą. Vos per dvi dienas „Black Basta“ pakenkė tinklui, pavogė neskelbtinus duomenis ir įdiegė išpirkos reikalaujančią programinę įrangą. Grupės metodai – pradinė prieiga per pažeistus kredencialus, greitas šoninis judėjimas, duomenų išfiltravimas ir viešas turto prievartavimas – iliustruoja itin rafinuotą, pramoninio masto požiūrį į kibernetinį turto prievartavimą.

Šios įžvalgos patvirtina, kad „Black Basta“ veikia kaip gerai suteptas verslas, profiliuodamas aukas naudodamas tokias priemones kaip „ZoomInfo“, kad įvertintų išpirkos sumas ir spaudimo taktiką.

Vidinis konfliktas ir sąžinės krizė

Vienas netikėčiausių informacijos nutekėjimo apreiškimų – žmogiškoji užpuolikų pusė. Per 2024 m. ataką prieš Ascension Health pokalbių pranešimai atskleidžia didėjantį diskomfortą grupėje, kai paaiškėjo jų veiksmų pasekmės.

Susidūrę su galimybe pakenkti pacientams, įskaitant kritinės priežiūros atvejus, nariai diskutavo, ar suteikti nemokamą iššifravimo priemonę ir ištrinti pavogtus duomenis. Komentarai iš pagrindinių veikėjų, pvz., „tinker“ ir „gg“, rodo, kad labai gerai suprantama, kad nužudymas ligoninėse gali peraugti nuo elektroninių nusikaltimų iki kaltinimų terorizmu, jei žūtų gyvybės.

Retu žingsniu Black Basta ne tik suteikė nemokamą iššifravimo raktą, bet ir tariamai ištrynė pavogtus duomenis, reikšdamas neįprastą savisaugos momentą, o gal net moralę.

Ar Juodoji Basta yra ant žlugimo slenksčio?

Kai kurie ekspertai spėja, kad ši grupė gali eiti tuo pačiu keliu kaip ir „Conti“, kuri iširo po vidinių nutekėjimų ir vėl atsirado naujais pavadinimais. Keletas nutekintų komentarų rodo, kad „Black Basta“ jau svarstė galimybę pakeisti prekės ženklą dėl didėjančio teisėsaugos ir visuomenės karštligės.

Nors kol kas tebėra spėliojama, idėja, kad Black Basta išnyks ir vėl atsiras kitu slapyvardžiu 2025 m., su kiekviena diena tampa vis labiau tikėtina.

Ką tai reiškia gynėjams

Šis nutekėjimas yra daugiau nei tik elektroninių nusikaltimų drama – tai veiksmingi žvalgybos duomenys.
Apsaugos komandoms „Black Basta“ nutekėjimas siūlo:

  • Prioritetinis pažeidžiamumo pataisymas, pagrįstas realaus pasaulio išnaudojimu.
  • Įžvalga apie atakų terminus ir metodus.
  • Supratimas apie vidinę grupės dinamiką, kuri gali reikšti pokyčius išpirkos reikalaujančių programų aplinkoje.

Organizacijos turėtų imtis veiksmų dabar, kad peržiūrėtų CVE ir netinkamas konfigūracijas, kurios buvo atskleistos nutekėjimo metu, sustiprintų apsaugą ir liktų budrios. Nors Black Basta gali susidurti su vidinėmis kovomis, visa išpirkos reikalaujanti programinė įranga išlieka nuolatine ir besivystančia grėsme.

Paskutinės mintys

„Black Basta“ nutekėjimas yra įspėjamasis pasakojimas ir strateginis pranašumas kibernetinio saugumo gynėjams. Tai patvirtina, kad net pačios sudėtingiausios išpirkos programų grupės nėra apsaugotos nuo vidinių konfliktų, žmogiškųjų klaidų ir poveikio.

Tačiau nesuklyskite – nesvarbu, ar „Black Basta“ išsiskirstys, pakeis prekės ženklą ar tęsis, šiuose pokalbiuose atskleisti metodai ir pažeidžiamumas paskatins „ransomware“ operacijas gerokai po 2025 m.

Geriausia gynyba dabar yra sąmoningumas, pasiruošimas ir greiti veiksmai.

Iki Zane m
March 7, 2025
Computer Security
Lietuvių
March 7, 2025
Computer Security

Populiarūs skelbimai

Kas yra OperaGXSetup.exe failas ir ar jis yra kenkėjiškas?

11 months atgal

Eporner.com ir kodėl per daug iššokančių langų yra rizikinga

12 days atgal

Atkreipkite dėmesį: kažkas jus įtraukė kaip atkūrimo el. pašto...

10 months atgal

„HackTool“: „Win32“ / „Crack“: kenkėjiška grėsmė, galinti...

7 months atgal

Galimai rimta grėsmė: Trojos arklys:Win32/Suschil!rfn

19 days atgal

Kas yra Packunwan Trojos arklio grėsmė ir kaip ji gali...

11 months atgal
Lietuvių
Įkeliama ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Namai

Products

Cyclonis Password Manager Cyclonis World Time

Palaikymas

Help Files DUK Downloads Inquiries & Support

Bendrovė

Apie mus Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privatumo politika Slapukų politika Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

„Windows“ yra „Microsoft“ prekės ženklas, registruotas JAV ir kitose šalyse.
„Mac“, „iPhone“, „iPad“ ir „App Store“ yra „Apple Inc.“ prekių ženklai, registruoti JAV ir kitose šalyse.
„iOS“ yra registruotas „Cisco Systems, Inc.“ ir (arba) jos filialų JAV ir tam tikrose kitose šalyse prekės ženklas.
„Android“ ir „Google Play“ yra „Google LLC“ prekių ženklai.