Просчет Black Basta: использо�вание утечки из чатов злоумышленников
Обзор угроз – 17 марта 2025 г.
Обзор
Black Basta, печально известная группа злоумышленников, использующих программы-шантажисты, связанная с преступными предприятиями Ryuk и Conti, оказалась разоблаченной, когда в канале Telegram обнаружилась утечка данных с ее сервера чата Matrix. На сервере чата, размещенном на домене bestplanes247[.]online, имела место утечка через пользователя, воспользовавшегося меткой ExploitWhisers. Файлы, подвергшиеся утечке, содержат документы JSON с подробным описанием временных меток, информации об отправителе и получателе, идентификаторах веток и содержании сообщений. Эти данные обеспечивают полезную аналитическую информацию об операциях группы, помогая идентифицировать ключевые учетные записи и домены, используемые ее членами.
Утечки данных чата не только дают представление о внутренней работе Black Basta, но и проливают свет на более широкую экосистему программ-шантажистов. Понимание того, как группа управляет этой экосистемой, дает ценную информацию о ее масштабах и возможностях, а также о различных методах, доступных для оценки ее эффективности и воздействия. Один из подходов заключается в анализе криптовалютных транзакций, приписываемых преступному предприятию. Кейтлин Мартин из аналитической компании Chainalysis, специализирующейся на блокчейне, подчеркнула именно этот момент в связи с утечкой данных Black Basta:
«Данные внутри и вне цепочки в подвергшихся утечке чатах Black Basta показывают, как группа полагается на различные веб-сервисы, сторонние сервисы и форумы даркнета для своей работы. Плата за эти сервисы не тол�ько со стороны Black Basta, но и других групп программ-шантажистов демонстрирует, в какой степени эти сервисы являются частью критически важной инфраструктуры экосистемы программ-шантажистов».
Изучая финансовые транзакции и операционные зависимости, исследователи могут лучше понять экосистему, в которой работают и поддерживают свою деятельность. эти группы.
Одним из ключевых аспектов этой экосистемы является то, как группировки злоумышленников, использующих программы-шантажисты, выбирают своих жертв. Безусловно, некоторые отрасли и регионы мира пострадали от этого непропорционально больше, однако, похоже, группировки, использующие программы-шантажисты, выбирают не конкретных жертв, а скорее выбирают их из пула уже скомпрометированных машин. Группировки злоумышленников, использующие программы-шантажисты, координируют свои действия с преступными группами, которые ежедневно заражают тысячи машин, а затем просматривают список скомпрометированных систем, чтобы определить, какие их них принадлежат преуспевающ�им компаниям.
Во многих случаях группировки, использующие программы-шантажисты, покупают первоначальный доступ к хостам жертв у брокеров, которые тщательно просматривают огромные коллекции учетных данных, торгующихся и продающихся на криминальных рынках и форумах. Эти учетные данные, собранные похитителями информации, такими как LummaC2, часто принадлежат учетным записям систем удаленного доступа, например, RDWeb, Citrix, и VPN в браузерах. Понимание данного процесса отбора подчеркивает важность надежной защиты учетных данных, сегментации сети и превентивного мониторинга угроз для предотвращения операций программ-шантажистов до того, как они перерастут в полномасштабные атаки.
До утечки Black Basta осуществила высокоэффективные операции с использованием программ-шантажистов, взломав многочисленные предприятия и нанеся миллионы долларов ущерба и уплаты выкупа. Утечки данных чата предоставляют информацию о тактиках, методах и процедурах (TTP) группы, обеспечивая мониторинг ее операций. Используя эти данные, Cloudflare отслеживала активность Black Basta и получала уникальную информацию об их инфраструктуре и методах атак. Организации могут использовать эту информацию, чтобы улучшить свое понимание группировок злоумышленников, использующих программы-шантажисты, такие как Black Basta, для улучшения своих средств защиты и заблаговременного прогнозирования их следующих действий, снижая риск стать жертвой будущих атак.
Cloudforce One углубленно анализирует TTP Black Basta
Когда Cloudforce One получила файл bestflowers.json, мы сначала перечислили всю инфраструктуру, упомянутую в чатах, сосредоточившись на тех из них, в отношении которых мы имели уникальную возможность мониторинга. В ходе этого процесса мы выявили методы, используемые Black Basta для упрощения эксфильтрации данных и скрыть свою удаленную инфраструктуру. Мы провели тщательный анализ этой инфраструктуры, чтобы оценить ее потенциальное воздействие. Наше расследование подтвердило, что многие из доменов, упомянутых в чатах, не использовались, что позволяет предположить, что они были превентивно созданы для операционных задач, которые так и не были реализованы.
Black Basta следовала последовательному процессу настройки учетных записей у поставщиков инфраструктуры. Участники группы регулярно делились данными о создании учетных записей в чате, включая имена, почтовые адреса и учетные данные для входа. Они использовали корпоративные домены для адре�сов электронной почты, а не бесплатные почтовые сервисы. При управлении своей инфраструктурой они подключались из самых разных сетей и непоследовательно полагались на сервисы анонимизации. Хотя их пароли были достаточно сложными, они часто использовали одни и те же пароли для нескольких учетных записей.
После завершения исследования инфраструктуры Black Basta мы внимательно изучили чаты, чтобы проанализировать их методы на предмет первоначального доступа, тактики пост-эксплуатации и стратегии переговоров. Black Basta активно использовала вредоносное ПО предшественников, такое как Qakbot, для внедрения на огромное количество машин по всему миру. После получения доступа они идентифицировали высокоценные мишени с помощью задач пост-эксплуатации, включая хорошо известные методы, такие как установка постоянных маяков, перечисление каталогов и повышение привилегий.
В некоторых случаях они взламывали системы, используя другие методы, которые включали учетные данные, собранные злоумышленниками. Cloudforce One обнаружила некоторые связанные учетные записи в колле�кциях учетных данных, которые обменивались или бесплатно распространялись в каналах Telegram, предназначенных для журналов похитителей информации. Пример сообщения Telegram с использованием одной из таких скомпрометированных учетных записей приведен на рисунке ниже.
Использование Black Basta хищения учетных данных и вредоносного ПО подчеркивает взаимосвязанный характер экосистемы программ-шантажистов — экосистемы, которая процветает не только за счет первоначального доступа, но и за счет финансовой инфраструктуры, которая поддерживает ее операции. Выплата выкупа проходит через криптовалюту, в первую очередь биткойны. Утечки чатов содержат множество адресов криптовалюты, которые могут служить назначениями платежей, и их можно кластеризовать с другими адресами для анализа финансового следа и воздействия Black Basta.
Группа также использует криптовалюту при организации платежей за инфраструктуру, при этом запрашивающие стороны указывают сумму, а иногда предлагают несколько вариантов оплаты в криптовалюте. Это отражает практики, наблюдаемые во время утечек данных в чате Conti в 2022 году, когда члены команды регулярно просили руководителей осуществлять платежи в криптовалюте за виртуальные частные серверы, доменные имена и VPN-сервисы.
Как обезопасить себя
Многие журналы и блоги предлагают рекомендации по нейтрализации программ-шантажистов, но они часто не учитывают основные причины инцидентов. Группы, использующие программы-шантажисты, как правило, получают первоначальный доступ с помощью нескольких ключевых методов:
Хищение и перепродажа учетных данных: злоумышленники, похищающие информацию, собирают учетные данные удаленного доступа, которые затем продаются брокерам первоначального доступа. Эти брокеры, в свою очередь, продают их группировкам злоумышленников, использующих программы-шантажисты.
Развертывание вредоносного ПО предшественников: злоумышленники распространяют вредоносное ПО, такое как Qakbot и IcedID, в рамках широко распространенных спам-кампаний. Затем они идентифицируют с зараженных машин высокоценные мишени для программ-шантажистов. Злоумышленники часто доставляют это вредоносное ПО через вложения электронной почты со встроенными скриптами или ссылками на файлы, содержащие скрипты, которые загружают и выполняют вредоносный трафик.
Использование уязвимых периферийных устройств. Группировки злоумышленников, использующие программы-шантажисты, часто используют неисправленные уязвимости в межсетевых экранах, VPN-устройствах и сервисах обмена файлами для получения несанкционированного доступа. Многие инциденты с программами-шантажистами происходят из-за этих слабых мест.
Следуйте данным р�екомендациям, чтобы снизить риск атак на основе программ-шантажистов:
Отключите пароли, хранящиеся в браузере. Компании, предоставляющие диспетчер паролей для организаций, должны запретить пользователям сохранять учетные данные в веб-браузерах.
Безопасные системы удаленного доступа. Требуйте многофакторную аутентификацию (MFA) для RDP, RDWeb, Citrix, VPN и других сервисов удаленного доступа, доступных через Интернет.
Информируйте пользователей о нелегитимном ПО. Нелегитимное ПО является основным источником атак для похитителей информации, которые собирают учетные данные, которые затем продаются брокерам первоначального доступа.
Осуществляйте тщательную фильтрацию вложений электронной почты. Блокируйте вложения, содержащие активное содержимое, например макросы или сценарии, чтобы предотвратить доставку вредоносного ПО.
Блокируйте рискованные офисные макросы. Предотвращайте выполнение макросов в документах Office, помеченных веб-меткой, что указывает на то, что они были загружены из Интернета.
Сообщайте о вредоносных действиях в сетях Cloudflare. При обнаружении подозрительной активности сообщайте об этом в Центр доверия Cloudflare.
Индикаторы компрометации
Следующий список доменов, извлеченный из журналов чата Black Basta, связан с вредоносным ПО и эксфильтрацией данных. Хотя некоторые из этих доменов были активны в прошлом, и их появление в будущем трафике маловероятно, ретроактивны�й анализ может помочь выявить любые исторические связи. Обнаружение прошлой активности, связанной с этими доменами, может указывать на связь вредоносного ПО с командным сервером.
Таблица включает некоторые из видимых доменов и IP-адресов, обнаруженных в чатах, подвергшихся утечке, но в ней представлена лишь выборка индикаторов Black Basta, отслеживаемых Cloudforce One. Полный список индикаторов, а также дополнительный практически полезный контекст см. на платформе событий угроз Cloudforce One.
О Cloudforce One
Миссия Cloudflare — способствовать развитию и совершенствованию Интернета. А более совершенный Интернет может существовать только при наличии «сил добра», которые выявляют, нейтрализуют и ослабляют злоумышленников, стремящихся подорвать доверие и искажать Интернет в целях личной или политической выгоды. Представляем Cloudforce One — всемирно известную специализированную команду Cloudflare, занимающуюся исследованием угроз, задачей которых является публикация сбора и анализа информации об угрозах, чтобы обеспечить командам безопасности необходимый контекст для принятия быстрых и уверенных решений. Мы выявляем атаки и нейтрализуем их с помощью уникальных аналитических данных, которых нет ни у кого другого.
Основой нашей прозрачности является глобальная сеть Cloudflare, одна из крупнейших в мире, которая охватывает около 20 % Интернета. Наши сервисы используются миллионами пользователей в каждом уголке Интернета, что обеспечивает нам беспрецедентный мониторинг глобальных событий, включая наиболее интересные атаки в Интернете. Такая выигрышная позиция позволяет Cloudforce One проводить разведку в режиме реального времени, блокировать атаки с момента их запуска и превращать аналитические данные в тактический успех.
Получайте обновления от Cloudforce One
Связанные ресурсы
Внутри LameDuck: анализ вредоносных операций Анонимного Судана
Отчет об угрозах
Углубленный анализ операций SloppyLemming в Южной Азии
Отчет об угрозах
Всплеск мошенничества при грузовых операциях: компрометация глобальной цепочки поставок
Моментальный снимок кампании