19 mars 2025Ravie LakshmananCybercrime / Intelligence des menaces

La trate récemment divulguée de journaux de discussion interne parmi les membres de l’opération de ransomware Black Basta a révélé des liens possibles entre le gang e-crime et les autorités russes.

La fuite, contenant plus de 200 000 messages de septembre 2023 à septembre 2024, a été publiée par un utilisateur télégramme @Exploitwhispers le mois dernier.

Selon une analyse des messages de la société de cybersécurité Trellix, le chef présumé de Black Basta, Oleg Nefedov (AKA GG ou AA), a peut-être reçu l’aide de responsables russes Après son arrestation à Erevan, en Arménie, en juin 2024, lui permettant de s’échapper trois jours plus tard.

Cybersécurité

Dans les messages, GG a affirmé qu’il avait contacté des hauts fonctionnaires pour passer par un “couloir vert” et faciliter l’extraction.

“Ces connaissances des fuites de chat rendent difficile pour le gang Black Basta d’abandonner complètement la façon dont ils fonctionnent et de démarrer un nouveau Raas à partir de zéro sans référence à leurs activités précédentes”, les chercheurs de Trellix Jambul Tologonov et John Fokker dit.

Parmi les autres résultats notables comprennent –

  • Le groupe a probablement deux bureaux à Moscou
  • Le groupe utilise Openai Chatgpt pour composer des lettres formelles frauduleuses en anglais, paraphraser du texte, réécrire des logiciels malveillants basés sur C # en python, un code de débogage et la collecte de données sur les victimes
  • Certains membres du groupe se chevauchent avec d’autres opérations de ransomware comme Rhysida et Cactus
  • Le développeur de Pikabot est un ressortissant ukrainien qui passe par l’alias en ligne mecor (aka n3Auxaxl) et qu’il a fallu à Black Basta par an pour développer la perturbation du chargeur malveillant après Qakbot
  • Le groupe a loué Darkgate à Rastafareye et a utilisé Lummma Stealer pour voler des informations d’identification ainsi que des logiciels malveillants supplémentaires
  • Le groupe a développé un cadre de commande et de contrôle (C2) post-exploitation appelée Breaker pour établir la persistance, échapper à la détection et maintenir l’accès à travers les systèmes de réseau
  • GG a travaillé avec Mecor sur de nouveaux ransomwares dérivés du code source de Conti, conduisant à la publication d’un prototype écrit en C, indiquant un éventuel effort de rebranding

Le développement intervient alors qu’Eclecticiq a révélé que le travail de Black Basta sur un cadre de forçage brute surnommé brutal conçu pour effectuer une analyse sur Internet automatisée et une fourrure d’identification contre les appareils de réseau Edge, y compris des pare-feu largement utilisés et des solutions VPN dans les réseaux d’entreprise.

Cybersécurité

Il existe des preuves suggérant que l’équipe de cybercriminalité utilise la plate-forme basée sur PHP depuis 2023 pour effectuer des attaques de réductions sur les informations d’identification à grande échelle et des attaques brutales contre des appareils cibles, permettant aux acteurs de la menace de gagner une visibilité sur les réseaux de victimes.

“Framework Douted permet aux affiliés Black Basta d’automatiser et de faire évoluer ces attaques, élargissant leur pool de victimes et accélérant la monétisation pour conduire les opérations des ransomwares”, la chercheuse en sécurité Arda Büyükkaya dit.

“Les communications internes révèlent que Black Basta a fortement investi dans le cadre Druté, permettant des analyses Internet rapides pour les appareils électroménagers Edge et un bourrage d’identification à grande échelle pour cibler les mots de passe faibles.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57