Black Basta olarak bilinen bir fidye yazılımı çetesinden bir yıldan fazla bir süredir dahili sohbet günlükleri, üyeleri arasındaki taktiklerine ve iç çatışmalarına benzeri görülmemiş bir görünürlük sağlayan bir sızıntıda çevrimiçi olarak yayınlandı.
18 Eylül 2023 ve 28 Eylül 2024 tarihleri arasında Matris Mesajlaşma Platformunda Rusça Dili Sohbetleri, başlangıçta 11 Şubat 2025’te, verileri yayınladıklarını iddia eden bir birey tarafından 11 Şubat 2025’te sızdırıldı çünkü verileri yayınladıklarını iddia eden bir kişi tarafından Grup Rus bankalarını hedefliyordu. Sızıntının kimliği bir gizem olmaya devam ediyor.
Black Basta ilk olarak Nisan 2022’de gündeme geldi ve şu anda lambul bir şekilde yok olan Qakbot’u (aka QBOT) bir dağıtım aracı olarak kullanarak. Mayıs 2024’te ABD hükümeti tarafından yayınlanan bir danışmanlığa göre, Double Formroorment ekibinin Kuzey Amerika, Avrupa ve Avustralya’daki 500’den fazla özel endüstri ve kritik altyapı kuruluşunu hedeflediği tahmin ediliyor.
Eliptik ve Corvus sigortası başına, üretken fidye yazılımı grubunun 2023 yılı sonuna kadar 90’dan fazla kurbandan Bitcoin fidye ödemelerinde en az 107 milyon dolarlık bir netleştirdiği tahmin ediliyor.
İsviçre Siber Güvenlik Şirketi Prodaft, intikamcı Mantis olarak da izlenen finansal olarak motive olmuş tehdit aktörünün, bazı operatörlerinin kurbanlarını çalışan bir şifreleme sağlamadan fidye ödemeleri toplayarak dolandırıcılarıyla “yılın başlangıcından beri çoğunlukla aktif olmayan” olduğunu söyledi. .
Dahası, Rusya’ya bağlı siber suç sendikasının kilit üyelerinin gemiyi kaktüs (Mantis Nurtuting) ve Akira fidye yazılımı operasyonlarına atladığı söyleniyor.
“İç çatışma, QBOT’u dağıtmaktan sorumlu bir spam ağı işleten bilinen bir tehdit aktörü olan ‘Tramp’ (Larva-18) tarafından yönlendirildi.” Grubun istikrarsızlığında önemli bir rol. “
Yaklaşık 200.000 mesaj içeren sızıntının belirli yönlerinden bazıları aşağıda listelenmiştir –
- LAPA, Black Basta’nın ana yöneticilerinden biridir ve idari görevlerde yer alır
- Cortes, Black Basta’nın Rus bankalarına yönelik saldırılarının ardından kendisini uzaklaştırmaya çalışan Qakbot Grubu ile ilişkilidir.
- YY, destek görevlerine katılan Black Basta’nın başka bir yöneticisidir
- Trump, GG ve AA isimlerine giren “grubun ana patronu” Oleg Nefedov’un takma adlarından biri
- Trump ve başka bir birey Bio, şimdi Dismanted Conti fidye yazılımı planında birlikte çalıştı
- Siyah Basta iştiraklerinden birinin 17 yaşında küçük olduğuna inanılıyor
- Black Basta, dağınık örümceğin başarısının ardından sosyal mühendisliği aktif olarak saldırılarına dahil etmeye başladı.
Qualys’e göre, Black Basta grubu, hedef ağlara ilk erişimi elde etmek için bilinen güvenlik açıklarından, yanlış yapılandırmalar ve yetersiz güvenlik kontrollerinden yararlanır. Tartışmalar, KOBİ yanlış yapılandırmalarının, maruz kalan RDP sunucularının ve zayıf kimlik doğrulama mekanizmalarının rutin olarak kullanıldığını, genellikle varsayılan VPN kimlik bilgilerine veya kaba çalıştıran çalıntı kimlik bilgilerine dayandığını göstermektedir.
 |
| Black Basta tarafından aktif olarak sömürülen en iyi 20 CVE |
Bir başka önemli saldırı vektörü, kötü amaçlı yükleri teslim etmek için kötü amaçlı yazılım damlalarının dağıtılmasını gerektirir. Tespitten kaçınmaya yönelik daha fazla girişimde, e-suç grubunun, yükleri barındırmak için transfer.sh, temp.sh ve send.vis.ee gibi meşru dosya paylaşım platformlarını kullandığı bulunmuştur.
Qualys Tehdit Araştırma Birimi (TRU) ürün müdürü Saeed Abbasi, “Fidye yazılımı grupları artık bir kuruluşun ağını ihlal ettikten sonra zamanını almıyor.” Dedi. “Son zamanlarda Black Basta’dan sızan veriler, ilk erişimden ağ çapında uzlaşmaya geçtiklerini saatler içinde-bazen dakikalar içinde bile gösteriyor.”
Açıklama, Check Point’in Cyberint araştırma ekibinin CL0P fidye yazılımı grubunun, yakın zamanda açıklanan bir güvenlik kusurunun (CVE-2024-50623) sömürülmesinin ardından veri sızıntısı alanında ihlal edilen kuruluşları listeleyen hedefleme organizasyonlarına devam ettiğini ortaya koydu. Dosya Aktarım Yazılımı.
Şirket, geçen hafta yayınlanan bir güncellemede, “CL0P, bu şirketlerle doğrudan iletişime geçiyor ve kurbanların temas kurması için müzakereler ve e -posta adresleri için güvenli sohbet bağlantıları sağlıyor.” Dedi. Diyerek şöyle devam etti: “Grup, şirketler onları görmezden gelmeye devam ederse, tam isimlerinin 48 saat içinde açıklanacağı konusunda uyardı.”
Geliştirme ayrıca ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından, Çin’deler de dahil olmak üzere 70’den fazla ülkede organizasyonları hedefleyen hayalet aktörler tarafından düzenlenen bir veri açığı ve fidye yazılımı saldırıları hakkında yayınlanan bir danışmanlığı izlemektedir.
Grup, fidye yazılımı yürütülebilir yüklerini döndürdüğü, şifreli dosyalar için dosya uzantılarının değiştirilmesi ve fidye not metnini değiştirmesi, Cring, Crypt3R, Phantom, Strike, Hello, Wickrme, HSharada ve Rapture gibi diğer isimlerle çağrılan gruba liderlik etmesi gözlemlenmiştir.
Ajans, “2021’in başından itibaren, hayalet aktörler internetle yüzleşen hizmetleri yazılım ve ürün yazılımının modası geçmiş versiyonlarını işleten kurbanlara saldırmaya başladı.” Dedi. “Çin’de bulunan hayalet aktörler, finansal kazanç için bu yaygın saldırıları yürütüyor. Etkilenen mağdurlar arasında kritik altyapı, okullar ve üniversiteler, hükümet ağları, dini kurumlar, teknoloji ve imalat şirketleri ve çok sayıda küçük ve orta ölçekli işletme yer alıyor.”
Hayalet, Adobe Coldfusion’da (CVE-2009-3960, CVE-2011-2861), Fortinet Fortios cihazlarında (CVE-2018-1379) ve Microsoft Exchange Server’da çeşitli güvenlik açıkları kullanarak internete dönük sistemlerden yararlanmak için halka açık kodu kullandığı bilinmektedir. (CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207, aka Proxyshell).
Başarılı bir sömürü, daha sonra Cobalt Strike çerçevesini indirmek ve yürütmek için kullanılan bir web kabuğunun konuşlandırılması izler. Tehdit aktörleri, kimlik bilgisi hasat ve ayrıcalık artışı için Mimikatz ve Badpotato gibi çok çeşitli araçlar kullanılarak gözlemlenmiştir.
Cisa, “Hayalet aktörler, kurban ağındaki ek sistemlerde PowerShell komutlarını çalıştırmak için Yüksek Erişim ve Windows Management Enstrümantasyon Komut Satırı (WMIC) kullandı-genellikle ek kobalt grev işaret enfeksiyonları başlatmak amacıyla.” Dedi. Diyerek şöyle devam etti: “Yanal hareket girişimlerinin başarısız olduğu durumlarda, hayalet aktörlerin bir kurbana saldırıyı terk ettiği gözlendi.”