Black Basta 勒索軟件組織內部聊天記錄的重大泄露事件，為網絡安全研究人員提供了前所未有的洞察，揭示了其運作模式。

泄露事件背景與影響

Telegram 用戶 ExploitWhispers 公布了此次泄露事件，其中包含約 20 萬條聊天記錄，時間跨度從 2023 年 9 月到 2024 年 6 月。此次泄密的重要性可與 2022 年影響 Conti 勒索軟件團伙的泄露事件相提并論，為威脅情報專家提供了關于 Black Basta 的能力、工具和動機的寶貴信息。

Black Basta 于 2022 年出現，采用勒索軟件即服務（RaaS）模式運營，其目標遍布全球多個國家，包括美國、日本、澳大利亞、英國、加拿大和新西蘭。這個以經濟利益為導向的俄語組織采用雙重勒索策略，不僅加密受害者的數據，還威脅如果不支付贖金，將公開竊取的信息。

其影響范圍廣泛，在 2022 年 4 月至 2024 年 5 月期間，北美、歐洲和澳大利亞的 500 多家實體受到影響。2024 年 5 月 10 日，美國網絡安全和基礎設施安全局（CISA）與聯邦調查局（FBI）聯合發布的一份報告詳細描述了 Black Basta 的廣泛活動。報告指出，該組織已針對 16 個關鍵基礎設施行業中的 12 個，研究人員特別強調了其對醫療組織的關注，因為這些組織規模大且潛在影響深遠。

這份與美國衛生與公眾服務部以及多州信息共享與分析中心聯合發布的分析報告，提供了關于該組織的戰術、技術和程序（TTPs）以及入侵指標的關鍵信息。

攻擊方法與技術手段

根據 Intel471 威脅獵手對泄露通信的分析，Black Basta 的攻擊方法通常從初始訪問開始，主要通過網絡釣魚郵件（包含惡意附件或鏈接）、被入侵的網站或利用已知漏洞。在最近的活動中，觀察到的附屬組織向受害者發送大量垃圾郵件，隨后通過電話冒充 IT 人員，提供垃圾郵件問題的幫助。在這些通話中，受害者被說服下載遠程支持工具，從而使攻擊者獲得對其系統的訪問權限。

泄露事件還揭示了 Black Basta 操作者使用的復雜技術工具庫。在偵察階段，他們使用 ifconfig.exe、netstat.exe 和 ping.exe 等發現工具，以及濫用 WMIC 來收集目標網絡的信息。SoftPerfect 網絡掃描器（netscan.exe）專門用于調查受害者網絡。

為了繞過防御，該組織利用臨時目錄、濫用后臺智能傳輸服務（BITS）組件，并篡改 Windows Defender。有時還會部署名為 Backstab 的工具，禁用可能干擾其操作的防病毒產品。通過 AnyDesk 等遠程管理工具建立命令和控制訪問，而橫向移動則通過 BITSAdmin 和 PsExec 實現。其工具庫中還包括 Splashtop、Screen Connect 和 Cobalt Strike 信標。

在憑證訪問方面，Black Basta 操作者利用 Mimikatz 獲取憑證，并在受感染環境中提升權限。PowerShell 腳本經常被濫用于下載文件和執行惡意載荷。數據竊取是其雙重勒索計劃中的關鍵步驟，主要通過 Rclone 工具進行，有時也使用 WinSCP。

在確保竊取數據后，操作者開始加密本地和網絡驅動器上的文件，并為加密文件附加 “.basta” 擴展名，同時放置包含聯系方式和特定 URL 的勒索說明。為了防止恢復操作，Black Basta 攻擊者使用命令 “vssadmin.exe delete shadows /all /quiet” 刪除卷影副本，并通過創建計劃任務實現持久化。

該組織通過聊天通信維護操作安全，其中包括關于目標選擇和勒索軟件部署技術的討論，而這些信息現已通過泄露事件暴露。此次揭露的技術細節為網絡安全防御者提供了寶貴信息，幫助他們制定更好的檢測和緩解策略，以應對這一臭名昭著的威脅組織。