Ogromny wyciek Black Basta ujawnia wewnętrzne działania giganta ransomware

W rzadkim i zaskakującym wydarzeniu, zbiór wewnętrznych logów czatów gangu ransomware Black Basta wyciekł do sieci, oferując niespotykany dotąd wgląd za kulisy jednej z najniebezpieczniejszych organizacji cyberprzestępczych działających obecnie. Wyciek jest już porównywany do niesławnych wycieków Conti z początku 2022 r., które ujawniły wewnętrzne działania innego niesławnego syndykatu ransomware.

To najnowsze odkrycie, ujawnione publicznie 20 lutego 2025 r., pochodzi od informatora znanego jako ExploitWhispers, który podobno opublikował plik JSON o rozmiarze 47 MB zawierający ponad 200 000 wiadomości czatu wymienianych przez członków Black Basta. Czaty obejmują cały rok aktywności, od września 2023 r. do września 2024 r., i są obecnie skrupulatnie analizowane przez badaczy cyberbezpieczeństwa na całym świecie.

Dlaczego Black Basta został zdemaskowany?

Według wiadomości udostępnionych w ramach przecieku, motywacja ujawnienia może wynikać z decyzji Black Basta o zaatakowaniu rosyjskich banków — posunięcia, które w świecie rosyjskojęzycznej cyberprzestępczości jest często uważane za niewybaczalny błąd. Jeśli jest to prawdą, wyjaśniałoby to, dlaczego insider zdecydował się ujawnić tak wrażliwy materiał.

Ponadto firma zajmująca się wywiadem zagrożeń Prodaft zauważa, że Black Basta jest w większości nieaktywna od początku 2025 r., rzekomo z powodu wewnętrznych sporów. Wraz z chaosem narastającym za kulisami, przeciek dodaje kolejną warstwę niepewności co do przyszłości grupy.

Co ujawniają przeciekłe rozmowy

Wyciek nie jest tylko fascynującym spojrzeniem na osobowości i codzienne pogawędki agentów Black Basta — to plan działania gangu, który pokazuje, w jaki sposób przeprowadza ataki, wybiera cele i wykorzystuje luki w zabezpieczeniach.

Firmy zajmujące się bezpieczeństwem VulnCheck i Qualys opublikowały już wczesne ustalenia, skupiając się na szczegółach technicznych ukrytych w logach. Według analizy VulnCheck, czaty wspominają o 62 unikalnych CVE (Common Vulnerabilities and Exposures), przy czym niektóre zostały omówione w ciągu kilku dni od ich publicznego ujawnienia, a kilka nawet przed ich oficjalną publikacją.

Co bardziej alarmujące, logi sugerują, że Black Basta nie polega tylko na publicznie znanych exploitach. Istnieją wyraźne dowody na to, że grupa ma zasoby do opracowywania nowych exploitów i rozważała zakup wyłącznych luk od innych aktorów zagrożeń.

Qualys poszedł o krok dalej, sporządzając listę priorytetów dla obrońców, obejmującą:

  • 20 najczęstszych luk CVE wymagających natychmiastowego załatania.
  • 10 najczęstszych błędów w konfiguracji wykorzystywanych przez Black Basta.
  • Kompletny załącznik zawierający wszystkie luki w zabezpieczeniach wymienione w przecieku.

Zespoły ds. bezpieczeństwa mają wyjątkową okazję, aby zrozumieć, które słabe punkty są najbardziej atrakcyjne dla operatorów ransomware i odpowiednio ustalić priorytety działań obronnych.

Studium przypadku w operacjach ransomware

Oprócz luk w zabezpieczeniach, badacze tacy jak Kela i BushidoToken przeanalizowali podręcznik operacyjny grupy. Jednym ze szczegółowych przykładów jest atak na brazylijską firmę w 2023 r., który rozpoczął się od kradzieży danych uwierzytelniających za pomocą złośliwego oprogramowania typu infostealer. W ciągu zaledwie dwóch dni Black Basta naruszyła sieć, ukradła poufne dane i wdrożyła ransomware. Metody grupy — początkowy dostęp za pomocą naruszonych danych uwierzytelniających, szybki ruch boczny, eksfiltracja danych i publiczne wymuszenia — ilustrują wysoce wyrafinowane podejście do cyberwymuszeń na skalę przemysłową.

Te spostrzeżenia potwierdzają, że Black Basta działa jak dobrze naoliwiony biznes, profilując ofiary przy użyciu narzędzi takich jak ZoomInfo, aby oszacować wysokość okupu i stosować taktykę nacisku.

Konflikt wewnętrzny i kryzys sumienia

Jednym z najbardziej nieoczekiwanych odkryć z przecieku jest ludzka strona atakujących. Podczas ataku na Ascension Health w 2024 r. wiadomości czatu ujawniają narastający dyskomfort w grupie, gdy konsekwencje ich działań stały się jasne.

W obliczu możliwości wyrządzenia krzywdy pacjentom, w tym przypadkom intensywnej opieki, członkowie debatowali nad udostępnieniem bezpłatnego deszyfratora i usunięciem skradzionych danych. Komentarze kluczowych postaci, takich jak „tinker” i „gg”, pokazują wyraźną świadomość, że zabijanie działalności szpitala może przerodzić się z cyberprzestępczości w oskarżenia o terroryzm, jeśli stracone zostaną ludzkie życia.

W rzadkim posunięciu Black Basta nie tylko udostępnił bezpłatny klucz deszyfrujący, ale rzekomo również usunął skradzione dane, co jest sygnałem niezwykłego momentu samozachowawczego — a może nawet moralności.

Czy Black Basta stoi na krawędzi upadku?

Przy całym tym zamieszaniu niektórzy eksperci spekulują, że grupa może podążać tą samą ścieżką co Conti, która rozwiązała się po własnych wewnętrznych przeciekach i pojawiła się ponownie pod nowymi nazwami. Kilka przeciekłych komentarzy sugeruje, że Black Basta rozważała już całkowitą zmianę marki z powodu narastającego napięcia ze strony organów ścigania i opinii publicznej.

Choć na razie pozostaje to jedynie spekulacją, możliwość zniknięcia Black Basta i ponownego pojawienia się pod innym pseudonimem w 2025 roku staje się z każdym dniem coraz bardziej prawdopodobna.

Co to oznacza dla obrońców

Ten wyciek to coś więcej niż tylko dramat cyberprzestępczości – to praktyczne informacje wywiadowcze.
Dla zespołów ds. bezpieczeństwa przeciek Black Basta oferuje:

  • Priorytetowe łatanie luk w zabezpieczeniach na podstawie rzeczywistych przypadków wykorzystania luk.
  • Wgląd w harmonogram i metody ataków.
  • Zrozumienie wewnętrznej dynamiki grupy, która może sygnalizować zmiany w środowisku ataków ransomware.

Organizacje powinny działać teraz, aby przejrzeć CVE i błędne konfiguracje ujawnione w wycieku, wzmocnić obronę i zachować czujność. Podczas gdy Black Basta może mierzyć się z wewnętrznymi zmaganiami, ransomware jako całość pozostaje trwałym i ewoluującym zagrożeniem.

Ostatnie przemyślenia

Wyciek Black Basta jest zarówno przestrogą, jak i strategiczną przewagą dla obrońców cyberbezpieczeństwa. Potwierdza, że nawet najbardziej wyrafinowane gangi ransomware nie są odporne na wewnętrzne konflikty, błędy ludzkie i narażenie.

Ale nie pomylcie się — niezależnie od tego, czy Black Basta się rozwiąże, zmieni nazwę czy będzie kontynuować działalność, metody i luki w zabezpieczeniach ujawnione w tych rozmowach będą napędzać ataki ransomware jeszcze długo po 2025 roku.

Najlepszą obroną jest teraz świadomość, przygotowanie i szybkie działanie.

Do Zane
March 7, 2025
Computer Security
Polski
March 7, 2025
Computer Security

Popularne posty

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

11 months temu

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

12 days temu

Uwaga: ktoś dodał Cię jako oszustwo związane z e-mailem...

10 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

7 months temu

Potencjalnie poważne zagrożenie: Trojan:Win32/Suschil!rfn

19 days temu

Czym jest zagrożenie związane z koniem trojańskim Packunwan i...

11 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.