Plus d’un an de journaux de chat internes d’un gang de ransomware connu sous le nom de Black Basta a été Publié en ligne dans une fuite qui offre une visibilité sans précédent dans leurs tactiques et leurs conflits internes entre ses membres.
Les conversations en langue russe sur la plate-forme de messagerie matricielle entre le 18 septembre 2023 et le 28 septembre 2024 ont été initialement divulguées le 11 février 2025 par une personne qui passe par la poignée Exploitsqui a affirmé avoir publié les données parce que le groupe visait les banques russes. L’identité du fuite reste un mystère.
Black Basta a d’abord été sous les projecteurs en avril 2022, en utilisant le Qakbot désormais plus définitif (AKA QBOT) comme véhicule de livraison. Selon un avis publié par le gouvernement américain en mai 2024, l’équipage à double extorsion aurait ciblé plus de 500 entités d’industrie privée et d’infrastructures critiques en Amérique du Nord, en Europe et en Australie.
Selon l’assurance elliptique et Corvus, le groupe de ransomware prolifique aurait rapporté au moins 107 millions de dollars en paiements de rançon de Bitcoin de plus de 90 victimes d’ici la fin de 2023.
La société de cybersécurité suisse Prodaft a déclaré que l’acteur de menace financièrement motivé, également suivi comme des mantes vengeantes, était “principalement inactive depuis le début de l’année” en raison de conflits internes, certains de ses opérateurs arnaminaient les victimes .
De plus, les membres clés du syndicat de cybercriminalité lié à la Russie auraient sauté le navire au cactus (alias nourrissant Mantis) et les opérations des ransomwares d’Akira.
“Le conflit interne a été motivé par ‘Tramp’ (Larva-18), un acteur de menace connu qui exploite un réseau de spam responsable de la distribution de QBOT”, a déclaré Prodaft dans un article sur X. “En tant que figure clé de Blackbasta, ses actions ont joué Un rôle majeur dans l’instabilité du groupe. “
Une partie de la saillant aspects de la fuite, qui contient près de 200 000 messages, sont répertoriés ci-dessous –
- Lapa est l’un des principaux administrateurs de Black Basta et impliqué dans des tâches administratives
- Cortes est associé au groupe Qakbot, qui a cherché à se distancier à la suite des attaques de Black Basta contre les banques russes
- Yy est un autre administrateur de Black Basta qui est impliqué dans les tâches de soutien
- Trump est l’un des alias pour “le patron principal du groupe” Oleg Nefedov, qui porte les noms GG et AA
- Trump et un autre individu, Bio, ont travaillé ensemble dans le schéma de ransomwares continu
- L’un des affiliés de Black Basta serait un mineur à l’âge de 17 ans
- Black Basta a commencé à incorporer activement l’ingénierie sociale dans leurs attaques à la suite du succès de Sported Spider
Selon Qualys, le groupe Black Basta exploite les vulnérabilités connues, les erreurs de configurations et les contrôles de sécurité insuffisants pour obtenir un accès initial aux réseaux cibles. Les discussions montrent que les erreurs de configuration des SMB, les serveurs RDP exposés et les mécanismes d’authentification faibles sont systématiquement exploités, s’appuyant souvent sur des informations d’identification VPN par défaut ou des informations d’identification volées à forçage brute.
![]() |
| Top 20 cves activement exploité par Black Basta |
Un autre vecteur d’attaque clé implique le déploiement de gouttes de logiciels malveillants pour livrer les charges utiles malveillantes. Dans une nouvelle tentative d’éliminer la détection, le groupe de crime électronique s’est avéré utiliser des plates-formes de partage de fichiers légitimes comme Transfer.sh, temp.sh et envoy.Vis.ee pour l’hébergement des charges utiles.
“Les groupes de ransomwares ne prennent plus leur temps une fois qu’ils ont enfreint le réseau d’une organisation”, a “Saeed Abbasi, directeur du produit de l’unité de recherche sur les menaces de Qualys, dit. “Les données récemment divulguées de Black Basta montrent qu’ils passent de l’accès initial au compromis à l’échelle du réseau en quelques heures – parfois même des minutes.”
La divulgation intervient alors que l’équipe de recherche de Cyberint de Check Point a révélé que le groupe de ransomware CL0P avait repris les organisations de ciblage, énumérant les organisations qui ont été violées sur son site de fuite de données après l’exploitation d’un défaut de sécurité récemment divulgué (CVE-2024-50623) ayant un impact sur la gestion de Cleo sur Cleo. Logiciel de transfert de fichiers.
“CL0P contacte directement ces sociétés, fournissant des liens de chat sécurisés pour les négociations et les adresses e-mail pour que les victimes puissent commencer le contact”, la société dit Dans une mise à jour publiée la semaine dernière. “Le groupe a averti que si les entreprises continuent de les ignorer, leurs noms complets seront divulgués dans les 48 heures.”
Le développement suit également un avis publié par l’Agence américaine de sécurité de cybersécurité et d’infrastructure (CISA) sur une vague d’exfiltration de données et d’attaques de ransomwares orchestrées par les acteurs fantômes ciblant les organisations dans plus de 70 pays, y compris celles en Chine.
Le groupe a été observé tournant de ses charges utiles exécutables de ransomware, changeant d’extensions de fichiers pour les fichiers chiffrés et modifiant le texte de la note de rançon, menant le groupe appelé par d’autres noms tels que Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, Hsharada et Rapture.
“À partir du début de 2021, les acteurs fantômes ont commencé à attaquer les victimes dont les services affrontés par Internet ont couru des versions obsolètes de logiciels et de micrologiciel”, l’agence dit. “Les acteurs fantômes, situés en Chine, mettent ces attaques répandues à des fins financières. Les victimes touchées comprennent des infrastructures critiques, des écoles et des universités, des soins de santé, des réseaux gouvernementaux, des institutions religieuses, une technologie et des sociétés de fabrication et de nombreuses petites et moyennes entreprises.”
Ghost est connu pour utiliser du code accessible au public pour exploiter les systèmes orientés Internet en utilisant diverses vulnérabilités dans Adobe Coldfusion (CVE-2009-3960, CVE-2010-2861), Les appareils Fortinet Fortios (CVE-2018-13379) et Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523et CVE-2021-31207aka proxyshell).
Une exploitation réussie est suivie par le déploiement d’un shell Web, qui est ensuite utilisé pour télécharger et exécuter le cadre de frappe Cobalt. Les acteurs de la menace ont également été observés à l’aide d’un large éventail d’outils tels que Mimikatz et Badpotato pour la récolte d’identification et l’escalade des privilèges, respectivement.
“Les acteurs fantômes ont utilisé une ligne de commandement de commande (WMIC) à l’accès élevé et à Windows Management Instrumentation (WMIC) pour exécuter des commandes PowerShell sur des systèmes supplémentaires sur le réseau de victimes – souvent dans le but de lancer des infections supplémentaires de balise de grève de Cobalt”, a déclaré CISA. “Dans les cas où les tentatives de mouvement latérales échouent, des acteurs fantômes ont été observés abandonnant une attaque contre une victime.”




