Một kho nhật ký trò chuyện được cho là thuộc nhóm ransomware Black Basta đã bị rò rỉ trên mạng, làm lộ danh tính các thành viên chủ chốt của băng đảng có liên hệ với Nga.
Nhật ký trò chuyện, bao gồm hơn 200.000 tin nhắn kéo dài từ ngày 18 tháng 9 năm 2023 đến ngày 28 tháng 9 năm 2024, đã được một kẻ rò rỉ chia sẻ với công ty tình báo mối đe dọa Prodaft. Công ty an ninh mạng cho biết vụ rò rỉ xảy ra trong bối cảnh “xung đột nội bộ” trong nhóm Black Basta sau khi một số thành viên bị cáo buộc không cung cấp cho nạn nhân các công cụ giải mã chức năng mặc dù đã trả tiền chuộc.
Vẫn chưa biết liệu người rò rỉ thông tin, người sử dụng bí danh “ExploitWhispers” trên Telegram, có phải là thành viên của băng đảng Black Basta hay không.
Black Basta là một băng nhóm ransomware hoạt động mạnh bằng tiếng Nga mà chính phủ Hoa Kỳ cho rằng có liên quan đến hàng trăm cuộc tấn công vào cơ sở hạ tầng quan trọng và các doanh nghiệp toàn cầu, trong đó các nạn nhân được biết đến rộng rãi bao gồm Hoa Kỳ tổ chức chăm sóc sức khỏe Ascension, Vương quốc Anh công ty tiện ích Southern Water và Công ty gia công phần mềm khổng lồ Capita của Anh. Nhật ký trò chuyện bị rò rỉ cung cấp cái nhìn chưa từng thấy về bên trong băng nhóm ransomware, bao gồm một số mục tiêu chưa được báo cáo của chúng.
Theo trong một bài đăng trên X của Prodaft, kẻ rò rỉ nói rằng các tin tặc “đã vượt quá giới hạn” bằng cách nhắm vào các ngân hàng nội địa Nga.
“Vì vậy, chúng tôi quyết tâm khám phá sự thật và điều tra các bước tiếp theo của Black Basta,” người rò rỉ viết.
Nạn nhân bị nhắm mục tiêu, kẻ khai thác và hacker tuổi teen
TechCrunch đã lấy được bản sao tệp tin hắc hacker’ nhật ký trò chuyện từ Prodaft, chứa thông tin chi tiết về các thành viên chủ chốt của nhóm ransomware.
Những thành viên này bao gồm “YY” (Quản trị viên chính của Black Basta); “Lapa” (một trong những thủ lĩnh chủ chốt khác của Black Basta); “Cortes” (một hacker đã liên kết với mạng botnet Qakbot); và “Trump” (còn được gọi là “AA” và “GG”).
Tin tặc “Trump” được cho là bí danh được sử dụng bởi Oleg Nefedovaka, người mà các nhà nghiên cứu của Prodaft mô tả là “ông chủ chính của nhóm”. Các nhà nghiên cứu đã liên kết Nefedovaka với nhóm ransomware Conti hiện không còn tồn tại, nhóm này đã ngừng hoạt động ngay sau khi nhật ký trò chuyện nội bộ bị rò rỉ sau khi nhóm này tuyên bố ủng hộ cuộc xâm lược toàn diện của Nga vào Ukraina vào năm 2022.
Nhật ký trò chuyện Black Basta bị rò rỉ cũng trích lời một thành viên nói rằng họ 17 tuổi, TechCrunch đã thấy.
Theo thống kê của chúng tôi, các cuộc trò chuyện bị rò rỉ chứa 380 liên kết duy nhất liên quan đến thông tin công ty được lưu trữ trên ZoomInfo, một nhà môi giới dữ liệu thu thập và bán quyền truy cập cho các doanh nghiệp và nhân viên của họ. Nhật ký trò chuyện cho thấy tin tặc đã sử dụng để nghiên cứu các công ty mà chúng nhắm mục tiêu. Các liên kết cũng đưa ra một số dấu hiệu về số lượng tổ chức bị băng đảng nhắm đến trong thời gian 12 tháng.
Nhật ký trò chuyện cũng tiết lộ những hiểu biết sâu sắc chưa từng có về hoạt động của nhóm. Các tin nhắn bao gồm thông tin chi tiết về nạn nhân của Black Basta, bản sao của các mẫu lừa đảo được sử dụng trong các cuộc tấn công mạng của chúng, một số cách khai thác được băng nhóm này sử dụng, địa chỉ tiền điện tử liên quan đến thanh toán tiền chuộc và thông tin chi tiết về yêu cầu tiền chuộc cũng như thông tin của nạn nhân đàm phán với các tổ chức bị tấn công.
Chúng tôi cũng tìm thấy nhật ký trò chuyện của các tin tặc thảo luận về một bài viết trên TechCrunch về hoạt động đang diễn ra của Qakbot, bất chấp hoạt động triệt phá của FBI trước đó nhằm đánh sập mạng botnet khét tiếng này.
TechCrunch cũng tìm thấy nhật ký trò chuyện có tên một số tổ chức mục tiêu chưa được biết đến trước đây. Điều này bao gồm gã khổng lồ ô tô Fisker của Hoa Kỳ đã thất bại; nhà cung cấp công nghệ y tế Cerner Corp., hiện thuộc sở hữu của Oracle; và công ty du lịch Hotelplan có trụ sở tại Anh. Vẫn chưa biết liệu các công ty này có vi phạm hay không và không có công ty nào trả lời các câu hỏi của TechCrunch.
Nhật ký trò chuyện dường như cho thấy nỗ lực của nhóm này trong việc khai thác các lỗi bảo mật trong các thiết bị mạng doanh nghiệp, chẳng hạn như bộ định tuyến và tường lửa nằm trên vành đai mạng của công ty và hoạt động như kỹ thuật số người gác cổng.
Các tin tặc khoe khoang khả năng khai thác lỗ hổng trong các sản phẩm truy cập từ xa của Citrix để đột nhập vào ít nhất hai mạng công ty. Nhóm này cũng nói về việc khai thác các lỗ hổng trong phần mềm Ivanti, Palo Alto Networks và Fortinet để thực hiện các cuộc tấn công mạng.
Cuộc trò chuyện giữa các thành viên Black Basta cũng cho thấy một số người trong nhóm lo lắng về việc bị chính quyền Nga điều tra trước áp lực địa chính trị. Trong khi Nga từ lâu đã là nơi trú ẩn an toàn cho các băng đảng ransomware, Black Basta cũng lo ngại về các hành động do chính phủ Hoa Kỳ đưa ra.
Các tin nhắn được gửi sau khi nhóm này vi phạm hệ thống của Ascension đã cảnh báo rằng FBI và CISA “100% có nghĩa vụ” tham gia và có thể khiến các cơ quan “có lập trường cứng rắn đối với Black Basta.”
Trang web rò rỉ web đen của Black Basta, nơi nó sử dụng để công khai tống tiền nạn nhân trả cho băng đảng một khoản tiền chuộc, đã ngoại tuyến tại thời điểm xuất bản.
Tech Crunch
