Ide o jeden z najbrutálnejších únikov dát vôbec. Tentokrát však boli „hacknutí“ samotní hackeri. Unikla ich interná komunikácia!
Únik konverzácií ransomvérovej skupiny Black Basta je doslova darom z nebies pre kyber-bezpečnostných technikov! Ponúka nevšedný pohľad do fungovania hackerských skupín!
Kybernetická bezpečnosť bola otrasená bezprecedentným únikom interných správ ransomvérovej skupiny Black Basta, jednej z najaktívnejších a najnebezpečnejších kyberzločineckých organizácií súčasnosti. Únik odhalil viac ako 200 000 súkromných správ medzi členmi skupiny, čo poskytlo komunitám kybernetickej bezpečnosti bezprecedentný pohľad na ich vnútorné fungovanie, stratégie a konflikty.
Únik pochádza z chatovacej platformy Matrix, kde členovia Black Basta komunikovali od 18. septembra 2023 do 28. septembra 2024. Zdroj úniku zostáva neznámy, ale osoba, ktorá ho zverejnila pod prezývkou ExploitWhispers, tvrdí, že išlo o odvetu za útoky skupiny na ruské banky. Správy boli pôvodne zverejnené na platforme MEGA, ale neskôr boli presunuté na dedikovaný Telegram kanál, upozorňuje server bleepingcomputer.com.
BlackBasta’s internal chats just got exposed, proving once again that cybercriminals are their own worst enemies. Keep burning our intelligence sources, we don’t mind. 😉 pic.twitter.com/6So7dl7xXn
— PRODAFT (@PRODAFT) February 20, 2025
Únik konverzácií mal byť pomstou
Black Basta je známa svojimi rozsiahlymi útokmi na kritickú infraštruktúru a organizácie po celom svete. Podľa spoločného vyhlásenia FBI a Agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) z februára 2025, skupina sa zamerala na 12 zo 16 sektorov kritickej infraštruktúry v USA a zaútočila na viac ako 500 organizácií po celom svete.
Medzi ich obete patria významné inštitúcie ako Ascension, veľký poskytovateľ zdravotnej starostlivosti v USA. Uniknuté správy odhalili vnútorné napätie v skupine, najmä po zatknutí jedného z jej vodcov. Súčasný líder, známy pod prezývkou Trump (alias GG a AA), o ktorom sa predpokladá, že je Oleg Nefedov, sa dostal pod paľbu kritiky. Analýza ruskojazyčných textov odhalila aj ďalších kľúčových členov skupiny, vrátane administrátorov známych ako Lapa a YY a osobu známu ako Cortes, ktorý je zároveň aj spojený so skupinou Qakbot.
Neprehliadni
Komunikácia potvrdila známe taktiky skupiny, ako sú phishingové e-maily so škodlivými odkazmi, použitie bankového trójskeho koňa Qakbot a nástrojov ako Cobalt Strike a Mimikatz. Skupina sa spolieha na stratégiu dvojitého vydierania, šifrovanie súborov a krádež dát. Black Basta tiež využíva techniky sociálneho inžinierstva, vrátane telefonických hovorov, na nadviazanie kontaktu s obeťami. Proces výberu cieľov Black Basta je metodický a skupina využíva platformy podnikovej inteligencie na prieskum a výber svojich obetí. Uniknutá konverzácia obsahuje aj 367 unikátnych odkazov na ZoomInfo, čo naznačuje pravdepodobný počet spoločností, na ktoré sa zamerali počas sledovaného obdobia.
Etickí hackeri dostali do rúk skvelú pomôcku!
Tento masívny únik predstavuje významný zdroj informácií pre komunitu kybernetickej bezpečnosti. Analýza týchto údajov môže pomôcť pri vývoji lepších obranných stratégií a pri identifikácii a zadržaní členov skupiny Black Basta.
Bezpečnostná firma Hudson Rock využila uniknuté informácie na vytvorenie BlackBastaGPT, AI-poháňaného chatbota, ktorý umožňuje výskumníkom efektívnejšie analyzovať operácie skupiny. Únik tiež odhalil finančné aspekty operácií Black Basta. V jednom prípade skupina požadovala výkupné vo výške 28,7 milióna dolárov od obete, pričom ponúkla výraznú zľavu za rýchlu platbu. Podľa výskumu spoločností Elliptic a Corvus Insurance skupina do konca roka 2023 získala výkupné v hodnote najmenej 107 miliónov dolárov.
Experti prirovnávajú význam tohto úniku k masívnemu odhaleniu interných správ skupiny Conti v roku 2022. Únik Black Basta poskytuje cenné poznatky o taktikách, technikách a postupoch skupiny, ktoré môžu obrancom pomôcť lepšie sa pripraviť na budúce útoky a potenciálne narušiť operácie skupiny.
