Black Basta Fidye Yazılımı Operasyonu üyeleri arasında yakın zamanda sızan iç sohbet günlükleri trove, e-suç çetesi ve Rus yetkililer arasında olası bağlantılar ortaya koydu.
Eylül 2023’ten Eylül 2024’e kadar 200.000’den fazla mesaj içeren sızıntı, geçen ay bir telgraf kullanıcısı @ExploitWhispers tarafından yayınlandı.
Siber güvenlik şirketi Trellix tarafından yapılan mesajların analizine göre, Black Basta’nın iddia edilen lideri Oleg Nefedov (aka GG veya AA) Rus yetkililerden yardım almış olabilir. Tutuklanmasının ardından Ermenistan’ın Erivan’da, Haziran 2024’te üç gün sonra kaçmasına izin verdi.
Mesajlarda GG, bir “yeşil koridordan” geçmek ve çıkarmayı kolaylaştırmak için üst düzey yetkililerle temasa geçtiğini iddia etti.
Trellix araştırmacıları Jambul Tologonov ve John Fokker. “Sohbet sızıntılarından gelen bu bilgi, siyah Basta çetesinin çalışma şeklini tamamen terk etmesini ve önceki faaliyetlerine atıfta bulunmadan sıfırdan yeni bir RAAS başlatmasını zorlaştırıyor. söz konusu.
Diğer önemli bulguların yanı sıra –
- Grubun muhtemelen Moskova’da iki ofisi var
- Grup, İngilizce’de hileli resmi mektuplar bestelemek, metni yorumlamak, Python’da C#tabanlı kötü amaçlı yazılımları yeniden yazmak, hata ayıklama ve kurban verilerini toplamak için openai chatgpt kullanır.
- Grubun bazı üyeleri Rhysida ve Kaktüs gibi diğer fidye yazılımı işlemleriyle örtüşüyor
- Pikabot’un geliştiricisi, çevrimiçi takma ad Mecor (N3auxaxl) tarafından geçen bir Ukrayna vatandaşıdır ve Kara Basta’nın bir yıl sürdüğü Qakbot’un kesintisini geliştirmek için bir yıl sürdü
- Grup, Rastafareye’dan Darkgate’i kiraladı ve kimlik bilgilerini çalmak için Lumma Stealer’ı ve ek kötü amaçlı yazılımları kullandı
- Grup, kalıcılık oluşturmak, tespitten kaçınmak ve ağ sistemleri arasında erişimi korumak için Breaker adlı bir Sıkıştırma Sonrası Komut ve Kontrol (C2) çerçevesi geliştirdi.
- GG, Conti’nin kaynak kodundan türetilen yeni fidye yazılımı üzerinde Mecor ile çalıştı ve C’de yazılmış bir prototipin yayınlanmasına yol açarak olası bir yeniden markalama çabasını gösteriyor
Geliştirme, Eclecticiq’in Black Basta’nın, şirket ağlarında yaygın olarak kullanılan güvenlik duvarları ve VPN çözümleri de dahil olmak üzere, Edge Network cihazlarına karşı otomatik internet tarama ve kimlik bilgisi doldurma yapmak için tasarlanmış Brute-Forcing çerçevesi üzerinde çalıştığını ortaya koymuştur.
Siber suç ekibinin, 2023’ten beri PHP tabanlı platformu, hedef cihazlara büyük ölçekli kimlik bilgisi ve kaba kuvvet saldırıları gerçekleştirmek için kullandığını ve tehdit aktörlerinin kurban ağlarına görünürlük kazanmasına izin verdiğini gösteren kanıtlar var.
Güvenlik Araştırmacısı Arda Buykaya, “Kaba Çerçeve, Black Basta iştiraklerinin bu saldırıları otomatikleştirmelerini ve ölçeklendirmelerini, kurban havuzlarını genişletmesini ve fidye yazılımı operasyonlarını artırmak için para kazanmayı hızlandırmasını sağlıyor.” söz konusu.
“Dahili iletişim, Black Basta’nın kaba çerçeveye büyük yatırım yaptığını ve zayıf şifreleri hedeflemek için Edge Network cihazları ve büyük ölçekli kimlik bilgisi doldurma için hızlı internet taramalarını sağladığını ortaya koyuyor.”
