Black Basta Fidye Yazılımı Operasyonu üyeleri arasında yakın zamanda sızan iç sohbet günlükleri trove, e-suç çetesi ve Rus yetkililer arasında olası bağlantılar ortaya koydu.
Eylül 2023’ten Eylül 2024’e kadar 200.000’den fazla mesaj içeren sızıntı, geçen ay bir telgraf kullanıcısı @ExploitWhispers tarafından yayınlandı.
Siber güvenlik şirketi Trellix tarafından yapılan mesajların analizine göre, Black Basta’nın iddia edilen lider Oleg Nefedov (AKA GG veya AA), Haziran 2024’te Erivan’daki Erivan’daki tutuklanmasının ardından Rus yetkililerden üç gün sonra kaçmasına izin vermiş olabilir.
Mesajlarda GG, bir “yeşil koridordan” geçmek ve çıkarmayı kolaylaştırmak için üst düzey yetkililerle temasa geçtiğini iddia etti.
Trellix araştırmacıları Jambul Tologonov ve John Fokker, “Sohbet sızıntılarından gelen bu bilgi, siyah Basta çetesinin çalışma şeklini tamamen terk etmelerini ve önceki faaliyetlerine atıfta bulunmadan yeni bir RAAS’a sıfırdan başlatmalarını zorlaştırıyor.” Dedi.
Diğer önemli bulguların yanı sıra –
- Grubun muhtemelen Moskova’da iki ofisi var
- Grup, İngilizce’de hileli resmi mektuplar bestelemek, metni yorumlamak, Python’da C#tabanlı kötü amaçlı yazılımları yeniden yazmak, hata ayıklama ve kurban verilerini toplamak için openai chatgpt kullanır.
- Grubun bazı üyeleri Rhysida ve Kaktüs gibi diğer fidye yazılımı işlemleriyle örtüşüyor
- Pikabot’un geliştiricisi, çevrimiçi takma ad Mecor (N3auxaxl) tarafından geçen bir Ukrayna vatandaşıdır ve Kara Basta’nın bir yıl sürdüğü Qakbot’un kesintisini geliştirmek için bir yıl sürdü
- Grup, Rastafareye’dan Darkgate’i kiraladı ve kimlik bilgilerini çalmak için Lumma Stealer’ı ve ek kötü amaçlı yazılımları kullandı
- Grup, kalıcılık oluşturmak, tespitten kaçınmak ve ağ sistemleri arasında erişimi korumak için Breaker adlı bir Sıkıştırma Sonrası Komut ve Kontrol (C2) çerçevesi geliştirdi.
- GG, Conti’nin kaynak kodundan türetilen yeni fidye yazılımı üzerinde Mecor ile çalıştı ve C’de yazılmış bir prototipin yayınlanmasına yol açarak olası bir yeniden markalama çabasını gösteriyor
Geliştirme, Eclecticiq’in Black Basta’nın, şirket ağlarında yaygın olarak kullanılan güvenlik duvarları ve VPN çözümleri de dahil olmak üzere, Edge Network cihazlarına karşı otomatik internet tarama ve kimlik bilgisi doldurma yapmak için tasarlanmış Brute-Forcing çerçevesi üzerinde çalıştığını ortaya koymuştur.
Siber suç ekibinin, 2023’ten beri PHP tabanlı platformu, hedef cihazlara büyük ölçekli kimlik bilgisi ve kaba kuvvet saldırıları gerçekleştirmek için kullandığını ve tehdit aktörlerinin kurban ağlarına görünürlük kazanmasına izin verdiğini gösteren kanıtlar var.
Güvenlik araştırmacısı Arda Bunukkaya, “Kaba çerçeve, Black Basta iştiraklerinin bu saldırıları otomatikleştirmelerini ve ölçeklendirmelerini, kurban havuzlarını genişletmelerini ve fidye yazılımı operasyonlarını artırmak için para kazanmayı hızlandırmasını sağlar.” Dedi.
“Dahili iletişim, Black Basta’nın kaba çerçeveye büyük yatırım yaptığını ve zayıf şifreleri hedeflemek için Edge Network cihazları ve büyük ölçekli kimlik bilgisi doldurma için hızlı internet taramalarını sağladığını ortaya koyuyor.”