大规模 Black Basta 泄漏事件暴露了勒索软件巨头的内部运作

一个罕见而令人震惊的进展是， Black Basta 勒索软件团伙的大量内部聊天记录被泄露到网上，让人们前所未有地看到了当今最危险的网络犯罪组织之一的幕后情况。这次泄密事件已被拿来与 2022 年初臭名昭著的 Conti 泄密事件相提并论，后者揭露了另一个臭名昭著的勒索软件集团的内部运作。

这一最新爆料于 2025 年 2 月 20 日公开披露，来自一位名为 ExploitWhispers 的举报人，据报道，他发布了一个 47 MB 的 JSON 文件，其中包含 Black Basta 成员交换的 200,000 多条聊天消息。这些聊天涵盖了从 2023 年 9 月到 2024 年 9 月的一整年的活动，目前正由全球网络安全研究人员进行细致分析。

为何揭露黑色巴斯塔？

根据与泄密事件共享的信息，此次曝光的动机可能源于 Black Basta 决定针对俄罗斯银行——在俄语网络犯罪界，这一举动通常被认为是不可原谅的错误。如果属实，这将解释为什么内部人员决定泄露如此敏感的材料。

此外，威胁情报公司 Prodaft 指出，自 2025 年初以来，Black Basta 基本处于不活跃状态，据称是因为内部纠纷。由于幕后混乱不断，此次泄密事件给该组织的未来又增添了一层不确定性。

泄露的聊天记录揭露了什么

此次泄露的信息不仅让我们得以一窥 Black Basta 运营人员的个性和日常闲聊，还提供了该团伙如何发动攻击、选择目标和利用漏洞的蓝图。

安全公司 VulnCheck 和 Qualys 已经发布了早期调查结果，重点关注日志中隐藏的技术细节。根据 VulnCheck 的分析，聊天中提到了 62 个独特的 CVE（通用漏洞和暴露），其中一些在公开披露后几天内就被讨论过，还有一些甚至在正式发布之前就被讨论过。

更令人担忧的是，日志表明 Black Basta 不仅仅依赖众所周知的漏洞。有明显证据表明，该组织拥有开发新漏洞的资源，并曾讨论从其他威胁行为者那里购买独家漏洞。

Qualys 更进一步，为防御者编制了一份优先事项清单，其中包括：

• 需要立即修补的 20 个 CVE。
• Black Basta 经常利用的十大错误配置。
• 泄漏中提到的所有漏洞的完整附录。

对于安全团队来说，此次泄密事件提供了一个难得的机会，可以准确了解哪些弱点对勒索软件运营商最有吸引力，并据此确定防御优先级。

勒索软件运营案例研究

除了漏洞之外，Kela 和 BushidoToken 等研究人员还分析了该组织的行动策略。一个详细的例子是 2023 年对一家巴西公司的攻击，攻击始于通过信息窃取恶意软件窃取凭证。在短短两天内，Black Basta 就入侵了网络，窃取了敏感数据并部署了勒索软件。该组织的方法——通过窃取凭证进行初始访问、快速横向移动、数据泄露和公开勒索——体现了一种高度精细、工业规模的网络勒索方法。

这些见解证实，Black Basta 的运作就像一家运转良好的公司，它使用 ZoomInfo 等工具对受害者进行分析，以评估赎金金额和施压策略。

内部冲突和良心危机

此次泄密事件最令人意外的揭露之一是攻击者的人性。在 2024 年对 Ascension Health 的攻击中，聊天信息显示，随着他们行为的后果变得清晰，该组织内部的不安情绪日益加深。

面对可能伤害患者（包括重症监护病例）的情况，成员们争论是否提供免费解密器并删除被盗数据。“tinker”和“gg”等关键人物的评论表明，他们敏锐地意识到，如果造成生命损失，破坏医院的运营可能会从网络犯罪升级为恐怖主义指控。

Black Basta 采取了罕见的举措，不仅提供了免费的解密密钥，还据称删除了被盗数据，这表明他们采取了不同寻常的自我保护措施，或者甚至是道德措施。

黑巴斯塔濒临崩溃吗？

鉴于所有这些动荡，一些专家推测该组织可能正在走与 Conti 相同的道路，后者在内部泄密后解散，并以新名称重新出现。几条泄露的评论表明，由于执法部门和公众的压力不断增加，Black Basta 已经在考虑全面重塑品牌。

虽然现在这还只是猜测，但黑巴斯塔消失并在 2025 年某个时候以不同的别名重新出现的想法正日益变得可信。

这对防御者意味着什么

这次泄密不仅仅是一起网络犯罪事件，更是可以付诸行动的情报。
对于安全团队来说，Black Basta 泄密事件提供了：

• 根据实际利用情况优先修补漏洞。
• 洞察攻击时间表和方法。
• 了解可能预示勒索软件形势变化的内部群体动态。

组织应立即采取行动，审查泄漏中暴露的 CVE 和错误配置，加强防御并保持警惕。虽然 Black Basta 可能面临内部斗争，但勒索软件作为一个整体仍然是一个持续不断且不断演变的威胁。

最后的想法

Black Basta 泄密事件既是警示，也是网络安全防御者的战略优势。它证实，即使是最老练的勒索软件团伙也无法免受内部冲突、人为错误和暴露的影响。

但请不要误会——无论 Black Basta 解散、更名还是继续存在，这些聊天中揭示的方法和漏洞将在 2025 年以后为勒索软件行动提供动力。

现在最好的防御就是意识、准备和迅速行动。