近日，一個(gè)名為 ExploitWhispers 的匿名者泄露了 Black Basta 勒索軟件團(tuán)伙的 Matrix 聊天記錄，揭示了該團(tuán)伙的內(nèi)部分裂情況以及成員信息、黑客工具。該聊天記錄一開始被上傳至 MEGA 平臺，隨后又被轉(zhuǎn)至 Telegram。

內(nèi)部分裂：Black Basta 聊天記錄泄露揭示成員信息與黑客工具

2025 年 2 月 11 日，一次重大泄露事件曝光了 Black Basta 的內(nèi)部 Matrix 聊天記錄。泄露者聲稱，他們之所以發(fā)布這些數(shù)據(jù)，是因?yàn)樵搱F(tuán)伙正在瞄準(zhǔn)俄羅斯銀行。這一泄露與之前的 Conti 泄露事件極為相似。

泄露的檔案涵蓋了 2023 年 9 月 18 日至 2024 年 9 月 28 日期間的內(nèi)部聊天記錄。PRODAFT 研究員報(bào)告指出，自 2025 年起，由于內(nèi)部沖突、勒索詐騙以及勒索軟件失效，Black Basta 已經(jīng)基本處于停擺狀態(tài)。關(guān)鍵成員相繼跳槽至其他團(tuán)伙。

今年年初，關(guān)鍵成員紛紛離開 Black Basta ，加入了 Cactus勒索軟件或其他網(wǎng)絡(luò)犯罪團(tuán)伙。內(nèi)部沖突由“Tramp”（LARVA-18）引發(fā)，這位知名的威脅行為者運(yùn)營著一個(gè)負(fù)責(zé)分發(fā) QBOT 的垃圾郵件網(wǎng)絡(luò)。作為Black Basta 中的關(guān)鍵人物，他的行動(dòng)在很大程度上導(dǎo)致了該團(tuán)伙的不穩(wěn)定。

運(yùn)營內(nèi)幕與黑客工具

泄露的 Black Basta 聊天記錄揭示了該團(tuán)伙的運(yùn)營模式、策略及所使用的工具。研究人員發(fā)現(xiàn)，他們優(yōu)先利用 VPN 漏洞，并維護(hù)著一份共享的受害者名單。其中一名成員被確認(rèn)為是個(gè)年僅 17 歲的少年。聊天記錄表明，該團(tuán)伙的工作環(huán)境充滿了高壓。

VX-underground 的研究人員分析了泄露的 Black Basta 聊天記錄，并報(bào)告稱這些記錄揭示了他們的運(yùn)營細(xì)節(jié)，包括對 LockBit 的懷疑、對 Dispossessor 勒索軟件招聘的擔(dān)憂，以及對 VPN 漏洞的興趣。他們利用社交工程技術(shù)，優(yōu)先針對電氣和金融等行業(yè)的公司。

該團(tuán)伙的工作流程包括誘騙受害者執(zhí)行惡意文件，這些文件會(huì)連接到命令控制（C2）服務(wù)器，從而實(shí)現(xiàn)勒索軟件的部署或遠(yuǎn)程訪問。他們還被提供了一種月租 8.4 萬美元的私有加載器。

泄露的 Black Basta 聊天記錄顯示，成員們語氣直接且嚴(yán)厲，經(jīng)常嘲笑失敗并強(qiáng)調(diào)截止日期。他們的工作流程依賴于社交工程技術(shù)，通過投遞惡意 HTA 文件連接到服務(wù)器以部署有效載荷。受害者通常有 10 到 12 天的時(shí)間支付贖金，否則被盜數(shù)據(jù)將被公開。

研究員 Suyesh Prabhugaonkar 識別出了該團(tuán)伙使用的 367 個(gè)獨(dú)特的 Zoom 鏈接、域名與 IP 地址。該團(tuán)伙通過弱口令、未修復(fù)的漏洞以及社會(huì)工程手段獲得初始訪問權(quán)限。他們會(huì)輪換基礎(chǔ)設(shè)施以避免被發(fā)現(xiàn)，并測試有效載荷。據(jù) Prodaft 透露，關(guān)鍵人物 GG（Trump）很可能是領(lǐng)導(dǎo)者 Oleg Nefedov，他負(fù)責(zé)分配任務(wù)、跟蹤績效并施加截止日期壓力。

勒索攻擊頻發(fā)與受害者分布

Black Basta 是一款勒索軟件即服務(wù)（RaaS），自 2022 年 4 月起開始活躍，曾影響過多個(gè)北美、歐洲與澳大利亞的企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施實(shí)體。截至 2024 年 5 月，Black Basta 已影響全球超過 500 家組織。

作為 StopRansomware 計(jì)劃的一部分，2024 年 5 月，美國聯(lián)邦調(diào)查局（FBI）、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）、衛(wèi)生與公眾服務(wù)部（HHS）與多州信息共享與分析中心（MS-ISAC）聯(lián)合發(fā)布了一份關(guān)于 Black Basta 勒索軟件活動(dòng)的網(wǎng)絡(luò)安全建議（CSA）。

Black Basta 至少針對了 12 個(gè)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，包括醫(yī)療保健與公共衛(wèi)生領(lǐng)域。該建議文件中提供了從執(zhí)法機(jī)構(gòu)調(diào)查與第三方安全公司的報(bào)告中獲得的戰(zhàn)術(shù)、技術(shù)與程序（TTPs）以及入侵指標(biāo)（IOCs）。

2023 年 12 月，Elliptic 與 Corvus Insurance 發(fā)布的聯(lián)合研究表明，該團(tuán)伙自 2022 年初以來累計(jì)獲得了至少價(jià)值1700 萬美元的比特幣贖金，并通過俄羅斯加密貨幣交易所 Garantex 進(jìn)行洗錢。研究人員分析了區(qū)塊鏈交易，發(fā)現(xiàn) Black Basta 與 Conti 團(tuán)伙之間存在明確的關(guān)聯(lián)。2022 年，Conti 團(tuán)伙停止了其運(yùn)營，與此同時(shí)，Black Basta 團(tuán)伙在威脅領(lǐng)域嶄露頭角。

據(jù)專家介紹，該勒索軟件團(tuán)伙已經(jīng)感染了 329 多名受害者，大多數(shù)受害者來自制造業(yè)、工程與建筑業(yè)以及零售業(yè)，包括 ABB、Capita、Dish Network 和萊茵金屬。61.9%的受害者位于美國，15.8%位于德國，5.9%位于加拿大。部分受害者的贖金被 Conti 和 Black Basta 團(tuán)伙同時(shí)轉(zhuǎn)給了 Qakbot 惡意軟件的幕后團(tuán)伙。