威胁简报 - 2025 年 3 月 17 日
Black Basta 是一个臭名昭著的勒索软件团伙,它与 Ryuk 和 Continent 犯罪组织有联系。当该团伙的 Matrix 聊天服务器泄露数据在 Telegram 频道上公开后,该团伙的内部运作情况暴露在世人面前。该聊天服务器托管在域 bestFlowers247[.]online 上,被一位化名为 ExploitWhispers 的用户泄露。泄露的文件包含 JSON 文档,详细记录了时间戳、发送者和接收者信息、线程 ID 以及消息内容。这些数据提供了关于该团伙运作的可操作洞察,有助于识别其成员使用的关键账户和域名。
ExploitWhispers 泄露 Black Basta 聊天日志,暴露关键账户和域名
泄露的聊天数据不仅让我们深入了解了 Black Basta 的内部运营方式,还揭示了更广泛的勒索软件生态系统。了解该团伙如何在这一生态系统中运作,可以为评估其规模和能力提供宝贵的视角,同时可以采用多种方法衡量其有效性和影响力。一种方法是分析归属于该犯罪组织的加密货币交易。区块链情报公司 Chainalysis 的 Kaitlin Martin 在提及 Black Basta 泄露事件时强调了这一点:
通过研究金融交易和运营依赖关系,研究人员可以更好地了解这些团体运营和维持的生态系统。
这个生态系统中的一个关键问题是,勒索软件团伙如何选择其攻击目标(受害者)。虽然世界上某些行业和地区确实受到了不成比例的影响,但可能的情况是勒索软件团伙并没有选择特定的受害者,而是从已经受到感染的计算机池中选择受害者。勒索软件团伙与犯罪团队相互配合,每天感染数千台计算机,然后查看遭受入侵系统的列表,以识别属于资金充足类型的企业系统。
在许多情况下,勒索软件团伙从中间人那里购买对受害主机的初始访问权限。这些经纪人会在犯罪市场和论坛中搜寻大量交易和出售的凭据集合。这些凭据是由类似 LummaC2 的信息窃取软件收集的,通常属于 RDWeb、Citrix 以及基于浏览器的 VPN 等远程访问系统的账户。了解这个选择过程,凸显了强大的凭据安全、网络分段和主动威胁监测的重要作用,以便在勒索软件升级为全面的攻击之前中断其运行。
在此次泄露事件之前,Black Basta 进行了极其有效的勒索软件行动,成功入侵众多企业,造成数百万美元的损失和勒索款支付。泄露的聊天数据提供了关于该团体的攻击战术、技术和程序 (TTP) 方面的情报,从而提供了对其运营的可见性。Cloudflare 使用这些数据跟踪了 Black Basta 的活动,并获得了关于其基础设施和攻击方法的独特见解。组织可以利用这些信息,来加深对 Black Basta 之类的勒索软件团伙的了解,以提高自身的防御能力并主动预测其下一步行动,从而降低未来遭受攻击的风险。
Cloudforce One 获得 bestFlowers.json 文件后,我们首先列举了聊天中提到的所有基础设施,重点关注那些我们拥有独特可见性的基础设施。在此过程中,我们确定了 Black Basta 用于促进数据泄露并掩盖其远程基础设施的技术。我们全面分析了该基础设施,以评估其潜在影响。我们的调查证实,聊天中提到的许多域当时并未使用,这表明这些域是为从未实现的运营任务而预先创建。
Black Basta 按照一致的流程,使用基础设施提供商的平台来设置账户。团体成员定期在聊天中分享账户创建的详细信息,包括姓名、邮政地址和登录凭证。他们使用了看起来像是公司的域名作为电子邮件地址,而不是使用免费的电子邮件服务。在管理基础设施时,他们通过各种网络进行连接,而且并不是始终依赖于匿名服务。虽然他们的密码相当复杂,但他们经常在多个账户中重复使用相同的密码。
在完成对 Black Basta 基础设施的调查后,我们仔细审核了聊天记录,以分析他们的初始访问方法、漏洞利用后策略以及谈判策略。Black Basta 积极利用了 Qakbot 等前置恶意软件来渗透世界各地的大量计算机。获得访问权限后,他们通过利用实施漏洞利用后任务来确定高价值目标,包括安装持久信标、枚举目录,以及提升权限等众所周知的技术。
在某些情况下,他们使用其他方法入侵系统,包括信息窃取软件收集的登录凭据。Cloudforce One 在专门用于信息窃取者日志的 Telegram 频道中交易和免费共享的凭据集合中,发现了一些关联账户。下图是一则 Telegram 消息示例,涉及其中一个遭到入侵的账户。
Black Basta 识别的遭入侵美国企业 RDWeb 账户
Black Basta 对凭证盗窃和恶意软件的依赖,凸显了勒索软件生态系统的相互关联性。这个生态系统的蓬勃发展不仅取决于初始访问权限,还取决于维持其运营的金融基础设施。赎金支付通过加密货币(主要是比特币)完成。泄露的聊天记录中包含大量可能作为支付目的位置的加密货币地址,这些地址可以与其他地址聚类,用于分析 Black Basta 的资金来龙去脉和影响。
该团体在安排向基础设施提供商支付费用时提到了加密货币,请求者说明具体金额,有时也会提供多种加密货币支付选项。这与 2022 年 Conti 聊天记录泄露中观察到的做法相似,后者的成员常规性地请求管理层为虚拟专用服务器(VPS)、域名和 VPN 服务支付加密货币。
Cloudforce One 对 Black Basta 聊天服务器泄露所泄露的情报进行了调查,揭示值得注意的技术手段,并提供了 Cloudflare 的见解。调查确认该组织使用了前置恶意软件、战略性凭据处理,以及渗透网络、维持持久性并成功攻击高价值目标的能力。通过分析泄露的聊天数据,我们还获得更多细节,涉及加密货币在支持其运营中扮演的关键作用,以及他们对各类 Web 服务、第三方服务和暗网论坛的依赖。调查凸显了勒索软件生态系统日益增长的复杂性,并强调了构建全面防御体系的迫切需要 —— 从保护初始访问入口到监控金融交易 —— 以有效应对这些持续且具适应性的威胁行为者。
许多期刊和博客都提供了缓解勒索软件攻击方面的建议,但这往往无法解决事件的根本原因。勒索软件团体通常通过以下几种方法获得初始访问权限:
凭证盗窃和转售:信息窃取者收集远程访问凭证,然后将这些凭证出售给初始访问权限中间人。紧接着,这些中间人再将凭证出售给勒索软件团伙。
先兆恶意软件部署:威胁行为者通过广泛的垃圾邮件活动,分发传播 Qakbot 和 IcedID 等恶意软件。然后,他们从受感染的计算机中识别高价值的勒索软件目标。通常情况下,攻击者通过嵌入脚本的电子邮件附件或包含脚本的文件链接来传播恶意软件,以便下载并执行恶意有效负载。
利用易受攻击的边缘设备:勒索软件团伙经常利用防火墙、 VPN 设备和文件共享服务中未修补的漏洞来获得未经授权的访问。勒索软件事件往往源于这些安全漏洞,让攻击者能够渗透网络并部署其有效负载。
请遵循以下建议,降低您遭受勒索软件攻击的风险:
禁用浏览器存储的密码:提供组织密码管理器的企业,应阻止用户在 Web 浏览器中保存凭证。
确保安全远程访问系统:要求对暴露在互联网上的 RDP、RDWeb、Citrix、VPN 以及其他远程访问服务进行多因素身份验证 (MFA)。
向用户宣传盗版软件:非法软件是信息窃取者的主要来源,其收集凭证后再将凭证出售给初始访问权限中间人。
仔细过滤电子邮件附件:考虑部署一个强大的电子邮件安全解决方案,它可以阻止包含宏或脚本等活动内容的恶意附件,以防止恶意软件传递。Cloudflare 通过我们的 Cloudflare Email Security产品防御勒索软件团伙常用的电子邮件传播感染手段。
阻止有风险的 Office 宏:防止在带有 Web 标记 的 Office 文档中执行宏,这表明这些文档是从互联网下载。
举报 Cloudflare 网络上的滥用行为:如果您发现可疑活动,请在 Cloudflare 的信任中心举报。
以下域列表提取自 Black Basta 的聊天记录,与恶意软件和数据泄露有关。虽然其中一些域在过去非常活跃,并且不太可能出现在未来的流量中,但开展回顾性分析有助于识别任何历史联系。如果检测到与这些域相关联的过去活动,则可能表明恶意软件与命令和控制服务器之间存在通信。
这个表格包含了泄露的聊天记录中识别出的一些知名域名和 IP 地址,但 Cloudforce One 跟踪 Black Basta 指标列表非常长,所列仅为其中一小部分。若要进一步了解如何获取包含更多可操作上下文的完整指标列表,请参阅面向 Cloudforce One 客户的威胁事件平台。
关于 Cloudforce One
Cloudflare 的使命是帮助构建更好的互联网。建设更好的互联网离不开正义力量,以检测、阻止和削弱试图侵蚀信任、为个人或政治利益而操纵互联网的威胁行为者。Cloudforce One 应运而生,这是 Cloudflare 的专职团队,由世界知名的威胁研究人员组成,其任务是发布威胁情报,以便为安全团队提供必要的背景信息,从而快速而自信地做出决策。我们凭借无以伦比的独特见解,识别和抵御各种攻击。
我们拥有的可见性来源于 Cloudflare 的全球网络——世界上最大网络之一,覆盖约 20% 互联网。我们的服务已被遍布互联网每个角落的数百万用户所采用,使我们能够针对全球网络安全事件获得无与伦比的洞察——包括互联网上最具代表性的攻击。这一有利地位使 Cloudforce One 能够执行实时侦察,从攻击源头阻断攻击,并将情报转化为战术成功。