مجموعة كبيرة من سجلات الدردشة السوداء التي تم تسريبها تعرض الأعضاء والضحايا الرئيسيين لعصابة الفدية

تسربت مجموعة من سجلات الدردشة التي يُزعم أنها تابعة لمجموعة Black Basta Ransomware عبر الإنترنت ، مما فضح الأعضاء الرئيسيين في العصابة المتصلة بـ Russia.

تمت مشاركة chatlogs ، التي تشمل أكثر من 200000 رسالة تمتد من 18 سبتمبر 2023 ، إلى 28 سبتمبر 2024 ، مع شركة التهديد الاستخباراتية من قبل تسرب. تقول شركة الأمن السيبراني إن التسرب يأتي وسط “الصراع الداخلي” داخل مجموعة Basta Black بعد أن فشل بعض الأعضاء في تزويد ضحاياها بأدوات فك تشفير وظيفية على الرغم من دفع الطلب على الفدية.

لم يكن معروفًا بعد ما إذا كان The Leaker ، الذي يستخدم الاسم المستعار “Exploitwhispers” على Telegram ، كان عضوًا في عصابة Black Basta.

Black Basta هي عصابة فدية باللغة الروسية باللغة الروسية ، والتي ارتبطت بها الحكومة الأمريكية بمئات الهجمات على البنية التحتية الحرجة والشركات العالمية ، والتي تشمل ضحاياها المعروفين منظمة الرعاية الصحية الأمريكية Ascension ، وشركة المرافق في المملكة المتحدة الجنوبية ، والعملاق البريطاني للاستعانة بمصادر خارجية. تعطي سجلات الدردشة التي تم تسربها نظرة لم يسبق لها مثيل داخل عصابة الفدية ، بما في ذلك بعض أهدافها غير المبلغ عنها.

وفقًا لـ Post on X by prodaft ، قال المتسرب أن المتسللين “عبروا الخط” من خلال استهداف البنوك المحلية الروسية.

“لذلك نحن ملتزمون بالكشف عن الحقيقة والتحقيق في الخطوات التالية لـ Black Basta” ، كتب The Leaker.

الضحايا المستهدفين ، والمآثر ، والمتسلل في سن المراهقة

حصلت TechCrunch على نسخة من سجلات دردشة المتسللين من Prodaft ، والتي تحتوي على تفاصيل حول الأعضاء الرئيسيين في عصابة Ransomware.

يشمل هؤلاء الأعضاء “YY” (المسؤول الرئيسي لـ Black Basta) ؛ “لابا” (آخر من قادة أسود باستا الأسود) ؛ “Cortes” (متسلل مرتبط بـ Qakbot botnet) ؛ و “ترامب” (المعروف أيضًا باسم “AA” و “GG”).

يُعتقد أن القراصنة “ترامب” عبارة عن اسم مستعار يستخدمه أوليغ نيفيدوفاكا ، الذي يصف الباحثون بأنه “رئيس المجموعة الرئيسي”. ربط الباحثون Nefedovaka بمجموعة Conti Ransomware Group التي انتهت الآن ، والتي تم إيقافها بعد فترة وجيزة من سجلات الدردشة الداخلية بعد أن أعلنت العصابة دعمها لغزو أوكرانيا على نطاق روسيا في عام 2022.

كما رأت سجلات الدردشة السوداء التي تم تسريبها أيضًا أن هناك عضوًا واحدًا قوله إنه يبلغ من العمر 17 عامًا.

من خلال حسابنا ، تحتوي الدردشات التي تم تسربها على 380 رابطًا فريدًا تتعلق بمعلومات الشركة المستضافة على Zoominfo ، وهو وسيط بيانات يجمع ويبيع الوصول إلى الشركات وموظفيها ، والتي يظهرها شاتيروجات القراصنة المستخدمة في البحث عن الشركات التي يستهدفونها. تعطي الروابط أيضًا بعض المؤشرات على عدد المنظمات التي تستهدفها العصابة خلال فترة الـ 12 شهرًا.

تكشف سجلات الدردشة أيضًا رؤى غير مسبوقة في عمليات المجموعة. تتضمن الرسائل تفاصيل حول ضحايا Black Basta ، ونسخ من قوالب التصيد المستخدمة في الهجمات الإلكترونية الخاصة بهم ، وبعض المآثر التي تستخدمها العصابة ، وعناوين العملة المشفرة المرتبطة بمدفوعات الفدية ، وتفاصيل حول مطالب الفدية ومفاوضات الضحايا مع المنظمات المخترقة.

وجدنا أيضًا سجلات الدردشة للمتسللين الذين يناقشون مقالة TechCrunch حول نشاط Qakbot المستمر ، على الرغم من عملية إزالة مكتب التحقيقات الفيدرالي في وقت مبكر تهدف إلى إخراج الروبوت الشهير دون اتصال.

وجدت TechCrunch أيضًا سجلات الدردشة التي سميت العديد من المنظمات المستهدفة غير المعروفة سابقًا. وهذا يشمل عملاق السيارات الأمريكي الفاشل. شركة HealthTech Provider Cerner Corp ، التي تملكها الآن Oracle ؛ وشركة السفر في المملكة المتحدة في المملكة المتحدة. لم يكن معروفًا بعد ما إذا كانت الشركات قد انتهت ، ولم تستجب أي من الشركات لاستفسارات TechCrunch.

يبدو أن سجلات الدردشة تظهر جهود العصابة في استغلال أخطاء الأمان في أجهزة شبكة المؤسسات ، مثل أجهزة التوجيه وجدران الحماية التي تجلس على محيط شبكة الشركة وتكون بمثابة حراس البوابة الرقمية.

تفاخر المتسللون بقدرتهم على استغلال نقاط الضعف في منتجات الوصول عن بُعد Citrix لاقتحام شبكتين على الأقل من الشركات. تحدثت العصابة أيضًا عن استغلال نقاط الضعف في Ivanti و Palo Alto Networks و Fortinet Software لتنفيذ الهجمات الإلكترونية.

تشير محادثة بين أعضاء Black Basta أيضًا إلى أن بعض المجموعة كانت قلقة من التحقيق من قبل السلطات الروسية استجابة للضغوط الجيوسياسية. في حين أن روسيا كانت منذ فترة طويلة ملاذاً آمناً لعصابات الفدية ، إلا أن Black Basta كانت مهتمة أيضًا بالإجراءات التي أرفقتها الحكومة الأمريكية.

حذرت الرسائل المرسلة بعد خرق المجموعة لأنظمة Ascension من أن مكتب التحقيقات الفيدرالي و CISA “ملزمان بنسبة 100 ٪” للمشاركة وقد يؤدي إلى الوكالات “اتخاذ موقف صعب على Black Basta”.

كان موقع تسرب الويب المظلم لـ Black Basta ، والذي يستخدمه لابتزاز الضحايا علنًا لدفع الطلب على العصابة ، متصلًا في وقت النشر.