Nie ma pewności kto ujawnił dane
Nieznany informator, posługujący się pseudonimem ExploitWhispers, opublikował na Telegramie archiwum logów z wewnętrznych czatów Black Basta. Wcześniej te same dane były dostępne na platformie MEGA, ale zostały usunięte. Nie ma pewności co do tożsamości ExploitWhispers – może to być badacz ds. cyberbezpieczeństwa, który uzyskał dostęp do serwerów gangu, lub niezadowolony członek grupy.
Firma PRODAFT, specjalizująca się w analizie zagrożeń, zasugerowała, że wyciek może mieć związek z domniemanymi atakami Black Basta na rosyjskie instytucje finansowe. Wewnętrzne konflikty w grupie, w tym oszukiwanie ofiar poprzez pobieranie okupów bez udostępniania deszyfratorów, mogły doprowadzić do ujawnienia tych danych. Logi obejmują okres od września 2023 r. do września 2024 r.
Jaki zakres?
Analiza przeprowadzona przez BleepingComputer wykazała, że wyciek zawiera szeroki zakres informacji. Wśród nich znajdują się szablony phishingowe, adresy e-mail wykorzystywane do ich rozsyłania, kryptowalutowe portfele gangu, dane uwierzytelniające ofiar oraz szczegóły dotyczące stosowanych taktyk. Szczególną uwagę zwracają 367 unikalnych linków ZoomInfo, sugerujących liczbę firm, które mogły paść ofiarą w tym czasie. ZoomInfo to popularne narzędzie wykorzystywane przez gangi ransomware do gromadzenia informacji o celach ataków.
Wyciek ujawnił także dane dotyczące kluczowych członków Black Basta. Wymieniono m.in. Lapę, jedną z głównych postaci operacyjnych, oraz Cortesa, powiązanego z grupą Qakbot. Wśród liderów wymienia się również osobę o pseudonimie Trump, znaną też jako GG i AA, która może być tożsama z Olegiem Nefedovem, uznawanym za przywódcę grupy.
Black Basta, jako operacja ransomware-as-a-service (RaaS), pojawiła się w kwietniu 2022 r., szybko zdobywając złowieszczą reputację. Wśród jej ofiar znalazły się takie organizacje jak niemiecki Rheinmetall, europejski oddział Hyundaia, BT Group, Ascension, ABB, Amerykańskie Stowarzyszenie Stomatologiczne, Capita, Biblioteka Publiczna w Toronto i Yellow Pages Canada. Według raportu CISA i FBI, od kwietnia 2022 do maja 2024 roku grupa zaatakowała ponad 500 organizacji na całym świecie.
Okup na łączną kwotę 100 mln
Z badań Corvus Insurance i Elliptic wynika, że do listopada 2023 r. Black Basta wyłudziła od ponad 90 ofiar łączną sumę okupu szacowaną na 100 milionów dolarów. Metody działania grupy przypominają te stosowane przez niesławny syndykat Conti, którego dane ujawniono w 2022 roku po tym, jak opowiedział się po stronie Rosji po inwazji na Ukrainę.
Choć wyciek logów Black Basta wywołał duże poruszenie w środowisku cyberbezpieczeństwa, pozostaje pytanie, czy jest to jedynie wynik wewnętrznych konfliktów, czy celowa reakcja na działania gangu wobec rosyjskich instytucji. Tak czy inaczej, to zdarzenie może mieć poważne konsekwencje dla dalszego funkcjonowania grupy i jej członków.
