近日，一個名為 ExploitWhispers 的匿名者泄露了 Black Basta 勒索軟件團伙的 Matrix 聊天記錄，揭示了該團伙的內(nèi)部分裂情況以及成員信息、黑客工具。該聊天記錄一開始被上傳至 MEGA 平臺，隨后又被轉(zhuǎn)至 Telegram。

內(nèi)部分裂：Black Basta 聊天記錄泄露揭示成員信息與黑客工具

2025 年 2 月 11 日，一次重大泄露事件曝光了 Black Basta 的內(nèi)部 Matrix 聊天記錄。泄露者聲稱，他們之所以發(fā)布這些數(shù)據(jù)，是因為該團伙正在瞄準俄羅斯銀行。這一泄露與之前的 Conti 泄露事件極為相似。

泄露的檔案涵蓋了 2023 年 9 月 18 日至 2024 年 9 月 28 日期間的內(nèi)部聊天記錄。PRODAFT 研究員報告指出，自 2025 年起，由于內(nèi)部沖突、勒索詐騙以及勒索軟件失效，Black Basta 已經(jīng)基本處于停擺狀態(tài)。關(guān)鍵成員相繼跳槽至其他團伙。

今年年初，關(guān)鍵成員紛紛離開 Black Basta ，加入了 Cactus勒索軟件或其他網(wǎng)絡(luò)犯罪團伙。內(nèi)部沖突由“Tramp”（LARVA-18）引發(fā)，這位知名的威脅行為者運營著一個負責分發(fā) QBOT 的垃圾郵件網(wǎng)絡(luò)。作為Black Basta 中的關(guān)鍵人物，他的行動在很大程度上導(dǎo)致了該團伙的不穩(wěn)定。

運營內(nèi)幕與黑客工具

泄露的 Black Basta 聊天記錄揭示了該團伙的運營模式、策略及所使用的工具。研究人員發(fā)現(xiàn)，他們優(yōu)先利用 VPN 漏洞，并維護著一份共享的受害者名單。其中一名成員被確認為是個年僅 17 歲的少年。聊天記錄表明，該團伙的工作環(huán)境充滿了高壓。

VX-underground 的研究人員分析了泄露的 Black Basta 聊天記錄，并報告稱這些記錄揭示了他們的運營細節(jié)，包括對 LockBit 的懷疑、對 Dispossessor 勒索軟件招聘的擔憂，以及對 VPN 漏洞的興趣。他們利用社交工程技術(shù)，優(yōu)先針對電氣和金融等行業(yè)的公司。

該團伙的工作流程包括誘騙受害者執(zhí)行惡意文件，這些文件會連接到命令控制（C2）服務(wù)器，從而實現(xiàn)勒索軟件的部署或遠程訪問。他們還被提供了一種月租 8.4 萬美元的私有加載器。

泄露的 Black Basta 聊天記錄顯示，成員們語氣直接且嚴厲，經(jīng)常嘲笑失敗并強調(diào)截止日期。他們的工作流程依賴于社交工程技術(shù)，通過投遞惡意 HTA 文件連接到服務(wù)器以部署有效載荷。受害者通常有 10 到 12 天的時間支付贖金，否則被盜數(shù)據(jù)將被公開。

研究員 Suyesh Prabhugaonkar 識別出了該團伙使用的 367 個獨特的 Zoom 鏈接、域名與 IP 地址。該團伙通過弱口令、未修復(fù)的漏洞以及社會工程手段獲得初始訪問權(quán)限。他們會輪換基礎(chǔ)設(shè)施以避免被發(fā)現(xiàn)，并測試有效載荷。據(jù) Prodaft 透露，關(guān)鍵人物 GG（Trump）很可能是領(lǐng)導(dǎo)者 Oleg Nefedov，他負責分配任務(wù)、跟蹤績效并施加截止日期壓力。

勒索攻擊頻發(fā)與受害者分布

Black Basta 是一款勒索軟件即服務(wù)（RaaS），自 2022 年 4 月起開始活躍，曾影響過多個北美、歐洲與澳大利亞的企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施實體。截至 2024 年 5 月，Black Basta 已影響全球超過 500 家組織。

作為 StopRansomware 計劃的一部分，2024 年 5 月，美國聯(lián)邦調(diào)查局（FBI）、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）、衛(wèi)生與公眾服務(wù)部（HHS）與多州信息共享與分析中心（MS-ISAC）聯(lián)合發(fā)布了一份關(guān)于 Black Basta 勒索軟件活動的網(wǎng)絡(luò)安全建議（CSA）。

Black Basta 至少針對了 12 個關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，包括醫(yī)療保健與公共衛(wèi)生領(lǐng)域。該建議文件中提供了從執(zhí)法機構(gòu)調(diào)查與第三方安全公司的報告中獲得的戰(zhàn)術(shù)、技術(shù)與程序（TTPs）以及入侵指標（IOCs）。

2023 年 12 月，Elliptic 與 Corvus Insurance 發(fā)布的聯(lián)合研究表明，該團伙自 2022 年初以來累計獲得了至少價值1700 萬美元的比特幣贖金，并通過俄羅斯加密貨幣交易所 Garantex 進行洗錢。研究人員分析了區(qū)塊鏈交易，發(fā)現(xiàn) Black Basta 與 Conti 團伙之間存在明確的關(guān)聯(lián)。2022 年，Conti 團伙停止了其運營，與此同時，Black Basta 團伙在威脅領(lǐng)域嶄露頭角。

據(jù)專家介紹，該勒索軟件團伙已經(jīng)感染了 329 多名受害者，大多數(shù)受害者來自制造業(yè)、工程與建筑業(yè)以及零售業(yè)，包括 ABB、Capita、Dish Network 和萊茵金屬。61.9%的受害者位于美國，15.8%位于德國，5.9%位于加拿大。部分受害者的贖金被 Conti 和 Black Basta 團伙同時轉(zhuǎn)給了 Qakbot 惡意軟件的幕后團伙。