Se han publicado en recorrido más de un año de registros de chat internos de una pandilla de ransomware conocida como Black Baste en una fuga que proporciona una visibilidad sin precedentes sobre sus tácticas y conflictos internos entre sus miembros.
Los chats en idioma ruso en la plataforma de transporte de Matrix entre el 18 de septiembre de 2023 y el 28 de septiembre de 2024 fueron filtrados inicialmente el 11 de febrero de 2025 por un individuo que realiza el mango de exploits, quien afirmó que lanzaron los datos porque los datos porque los datos Familia estaba apuntando a los bancos rusos. La identidad del filtrador sigue siendo un intriga.
Black Baste fue por primera vez en el centro de atención en abril de 2022, utilizando el Qakbot (todavía conocido como QBOT) como un transporte de entrega. Según un aviso publicado por el gobierno de EE. UU. En mayo de 2024, se estima que el equipo de doble perturbación se dirigió a más de 500 entidades de infraestructura de la industria privada y la infraestructura crítica en América del Boreal, Europa y Australia.
Según el seguro omitido y Corvus, se estima que el prolífico conjunto de ransomware ha anotado al menos $ 107 millones en pagos de rescate de bitcoin de más de 90 víctimas a fines de 2023.
La compañía suiza de ciberseguridad Productaft dijo que el actor de amenaza de motivación financiera, todavía rastreado como una mantis vengativa, ha sido “en su mayoría inactiva desde el principio del año” conveniente a la lucha interna, y algunos de sus operadores estafan a las víctimas recolectando pagos de rescate sin proporcionar un descriptores de trabajo de trabajo. .
Adicionalmente, se dice que los miembros esencia del sindicato de delitos cibernéticos vinculados a Rusia saltaron el barco al cactus (todavía conocido como Mantis Nutrituring) y las operaciones de ransomware Akira.
“El conflicto interno fue impulsado por ‘Tramp’ (Oruga-18), un actor de amenaza conocido que opera una red de spamming responsable de distribuir QBOT”, dijo ProDaft en una publicación sobre X. “Como una figura esencia en el interior de Blackbasta, sus acciones interpretadas Un papel importante en la inestabilidad del conjunto “.
Algunos de los aspectos sobresalientes de la fuga, que contiene casi 200,000 mensajes, se enumeran a continuación –
- LAPA es uno de los principales administradores de Black Baste e involucrado en tareas administrativas
- Cortés está asociado con el Familia Qakbot, que ha tratado de distanciarse a raíz de los ataques de Black Baste contra los bancos rusos
- YY es otro administrador de Black Baste que participa en tareas de apoyo
- Trump es uno de los apodo para el “director principal del conjunto”, Oleg Nefedov, que se ardor GG y AA
- Trump y otro individuo, bio, trabajaron juntos en el esquema de ransomware de conti ahora distraído
- Se cree que uno de los afiliados negros de Baste es pequeño de 17 primaveras
- Black Baste ha comenzado a incorporar activamente la ingeniería social en sus ataques a posteriori del éxito de la araña dispersa
Según Qualys, el Familia Black Baste aprovecha vulnerabilidades conocidas, configuraciones erróneas y controles de seguridad insuficientes para obtener camino auténtico a las redes de destino. Las discusiones muestran que las configuraciones erróneas de SMB, los servidores RDP expuestos y los mecanismos de autenticación débiles se explotan de forma rutinaria, a menudo dependiendo de las credenciales VPN predeterminadas o las credenciales robadas de forcedura de bruto.
 |
| Top 20 CVE explotados activamente por Black Baste |
Otro vector de ataque esencia implica el despliegue de goteros de malware para entregar las cargas enseres maliciosas. En un intento adicional de evitar la detección, se ha antagónico que el conjunto de delitos electrónicos utiliza plataformas legítimas de intercambio de archivos como Transfer.Sh, Temp.Sh y Send.vis.ee para encajar las cargas enseres.
“Los grupos de ransomware ya no se toman su tiempo una vez que violan la red de una ordenamiento”, dijo Saeed Abbasi, regente de productos de la Pelotón de Investigación de Amenazas de Qualys (TRU). “Los datos filtrados recientemente de Black Baste muestran que se están moviendo del camino auténtico al compromiso de toda la red en cuestión de horas, a veces incluso minutos”.
La divulgación se produce cuando el Equipo de Investigación Cyberint de Check Point reveló que el conjunto de ransomware CL0P ha reanudado a las organizaciones de orientación, enumerando organizaciones que se violaron en su sitio de fuga de datos a posteriori de la explotación de una error de seguridad recientemente divulgada (CVE-2024-50623) que impactaron el CLEO administrado por el CLEO administrado. Software de transferencia de archivos.
“CL0P se está contactando directamente con estas compañías, proporcionando enlaces de chat seguros para negociaciones y direcciones de correo electrónico para que las víctimas inicien el contacto”, dijo la compañía en una modernización publicada la semana pasada. “El conjunto advirtió que si las compañías continúan ignorándolas, sus nombres completos se revelarán en el interior de las 48 horas”.
El exposición todavía sigue a un aviso publicado por la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) sobre una ola de exfiltración de datos y ataques de ransomware orquestados por los actores fantasmas dirigidos a organizaciones en más de 70 países, incluidos los de China.
Se ha observado que el conjunto giraba sus cargas enseres ejecutables de ransomware, cambia de extensiones de archivos para archivos encriptados y modifica el texto de nota de rescate, liderando el conjunto llamado por otros nombres como CRING, Crypt3r, Phantom, Strike, Hello, Wickrme, Hsharada y Rapture.
“A principios de 2021, los actores de Ghost comenzaron a atacar a las víctimas cuyos servicios de frente a Internet tenían versiones anticuadas de software y firmware”, dijo la agencia. “Los actores fantasmas, ubicados en China, realizan estos ataques generalizados para la provecho financiera. Las víctimas afectadas incluyen infraestructura crítica, escuelas y universidades, atención médica, redes gubernamentales, instituciones religiosas, empresas de tecnología y fabricación, y numerosas empresas pequeñas y medianas”.
Se sabe que Ghost usa el código adecuado públicamente para explotar los sistemas orientados a Internet empleando varias vulnerabilidades en Adobe Coldfusion (CVE-2009-3960, CVE-2011-2861), electrodomésticos Fortinet Fortios (CVE-2018-13379) y Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, y CVE-2021-31207, todavía conocido como proxyshell).
Una explotación exitosa es seguida por la implementación de un shell web, que luego se utiliza para descargar y ejecutar el entorno de ataque de cobalto. Los actores de amenaza todavía se han observado utilizando una amplia gradación de herramientas como Mimikatz y Badpotato para la monasterio de credenciales y la ascenso de privilegios, respectivamente.
“Los actores de Ghost utilizaron la recorrido de comandos de instrumentación de diligencia de camino e instrumentación de Windows (WMIC) para ejecutar comandos de PowerShell en sistemas adicionales en la red de víctimas, a menudo con el fin de iniciar infecciones adicionales de baliza de ataque de cobalto”, dijo CISA. “En los casos en que los intentos de movimiento contiguo no tienen éxito, se ha observado que los actores fantasmas abandonan un ataque contra una víctima”.
