Black Basta 出現重大失誤:利用該團體洩漏的聊天記錄
威脅簡介 - 2025 年 3 月 17 日
概觀
Black Basta 是一個臭名昭著的勒索軟體團夥,與 Ryuk 和 Conti 犯罪企業有聯繫。當其 Matrix 聊天伺服器資料洩露至 Telegram 時,該團夥暴露了行蹤。該聊天伺服器託管在網域 bestflowers247[.]online 上,被化名為為 ExploitWhispers 的使用者洩露。洩露的檔案包含詳細描述時間戳記、傳送者和接收者資訊�、對話 ID 和郵件內容的 JSON 文件。這些資料提供了有關該組織營運的有用見解,有助於識別其成員使用的主要帳戶和網域。
ExploitWhispers 洩露了 Black Basta 聊天記錄,揭露了關鍵帳戶和網域
洩露的聊天資料不僅提供了對 Black Basta 內部運作方式的深入解析,還為瞭解更廣泛的勒索軟體生態系統提供了線索。瞭解這個團體如何在這個生態系統中運作,能夠提供寶貴的觀察角度,評估其規模與能力。有多種方法來評估其有效性和影響力,其中一種方法是分析屬於該犯罪企業的加密貨幣交易。區塊鏈情報公司 Chainalysis 的 Kaitlin Martin 在談到 Black Basta 洩露事件時強調了這一點:
「從 Black Basta 洩露的聊天記錄中取得的鏈上與鏈下資料顯示,該團體高度依賴各種 Web 服務、第三方平台及暗網論壇來進行營運。不僅 Black Basta 本身,其他勒索軟體團夥也向這些服務付款,這更加凸顯了這些服務已經成為勒索軟體生態系統中不可或缺的基礎架構。」
透過檢查金融交易和營運相依性,研究人員可以更好地瞭解這些團夥在其中營運和維持生計的生態系統。
這個生態系統的一個關鍵方面是勒索軟體團伙選擇受害者的方式。雖然部分產業和全球部分地區確實遭受不成比例的攻擊,但勒索軟體團夥似乎並沒有選擇特定的受害者,而是從已經遭到入侵的機器中選擇受害者。勒索軟體團夥與每天可感染數千台機器的犯罪團隊合作,審查遭入侵系統的清單,篩選出屬於資金雄厚之大型企業的系統。
在許多情況下,勒索軟體團夥從經紀人那裡購買受害者主機的初始存取權限,後者會仔細搜索在犯罪市場和論壇上交易和出售的大量認證。這些認證由 LummaC2 等資訊竊取者收集,通常屬於 RDWeb、Citrix 和基於瀏覽器的 VPN 等遠端存取系統的帳戶。這種選擇流程凸顯了強大的認證安全性、網路分段和主動威脅監控的重要性,這些措施可在勒索軟體演變為全面攻擊前予以打斷。
在資料洩露事件發生之前,Black Basta 進行了高效的勒索軟體營運,入侵了多家企業並造成了數百萬美元的損失和贖金。洩漏的聊天資料提供了有關該團夥之策略、技術和程序 (TTP) 的情報,讓人們得以瞭解其營運情況。利用這些資料,Cloudflare 追蹤了 Black Basta 的活動並對其基礎架構和攻擊方法有了獨到的見解。組織可以利用這些資訊來加強對 Black Basta 等勒索軟體團夥的瞭解,以提高自身防禦能力並主動預測其下一步行動,降低成為未來攻擊受害者的風險。
Cloudforce One 剖析 Black Basta TTP
在 Cloudforce One 取得 bestflowers.json 檔案後,我們先列舉了聊天中提到的所有基礎架構,重點關注那些我們具有獨特可見性的基礎架構。在此過程中,我們發現了 Black Basta 用來促進資料外洩並掩蓋其遠端基礎架構的技術。我們對該基礎架構進行了徹底的分析,以評估其潛在影響。調查證實,聊天中提到的許多網域都沒有被使用,這表明它們是為從未實現的操作任務而預先建立的。
Black Basta 遵循一致的流程來設定基礎架構提供者的帳戶。團夥成員定期在聊天中分享帳戶建立詳細資訊,包括姓名、郵寄地址和登入認證。他們使用企業風格的網域作為電子郵件地址,而不是利用免費的電子郵件服務。在管理基礎架構時,他們透過各種網路進行連線,有時會依賴匿名服務。雖然他們的密碼相當複雜,但他們經常在多個帳戶中重複使用相同的密碼。
完成對 Black Basta 基礎架構的調查後,我們仔細審查了聊天記錄,分析了他們的初始存取方法、後期利用策略和交涉策略。Black Basta 積極利用 Qakbot 等前導惡意程式碼滲透到全球各地的大量機器。在取得存取權限後,他們透過後期利用任務(包括安裝持久信標、枚舉目錄和提升權限等眾所周知的技術)來識別高價值目標。
在一些情況下,Black Basta 使用其他方法入侵系統,包括使用資訊竊取者收集的認證。Cloudforce One 在專用於資訊竊取者記錄的 Telegram 頻道中交易和免費分享的認證集合中發現了一些相關帳戶。下圖顯示了涉及其中一個遭入侵帳戶的 Telegram 訊息範例。
Black Basta 標識的美國企業的 RDWeb 帳戶遭到入侵
Black Basta 對認證盜竊和惡意程式碼的依賴凸顯了勒索軟體生態系統的相互關聯性——該生態系統不僅依賴於初始存取,還依賴於維持其營運的金融基礎架構。贖金支付透過加密貨幣進行,主要是比特幣。洩露的聊天記錄包含許多可能作為付款目的地的加密貨幣地址,可以將這些地址與其他地址彙總起來,分析 Black Basta 的財務足跡和影響。
該團夥在安排基礎結構付款時也使用加密貨幣,請求者會指定金額,有時會提供多種加密貨幣付款選項。這與 2022 年的 Conti 聊天洩露事件中觀察到的做法相似,該團夥的成員會定期要求經理為虛擬私人伺服器、網域名稱和 VPN 服務支付加密貨幣。
Cloudforce One 對 Black Basta 聊天伺服器洩露事件所揭示的情報進行了調查,提供了有趣的間諜技術細節,並揭示了獨特的 Cloudflare 見解。調查證實,該團伙使用了先驅惡意程式碼、策略性地處理認證,以及滲透網路、維持持久性存取並成功鎖定高價值目標的能力。透過分析洩露的聊天資料,我們也進一步瞭解到加密貨幣在其營運中扮演的關鍵角色,以及他們對各種 Web 服務、第三方服務以及暗網論��壇的依賴。這項調查凸顯了勒索軟體生態系統不斷演變的複雜性,並強調了建立強大防禦措施(從保護初始存取點到監控金融交易)來有效對抗這些持續存在且具有適應能力的威脅執行者的必要性。
如何保護自己
許多期刊和部落格都提供了緩解勒索軟體的建議,但通常無法解決事件的根本原因。勒索軟體團夥通常透過幾種關鍵方法獲得初始存取權限:
認證竊取和轉售:資訊竊取者獲取遠端存取認證,然後將其出售給初始存取經紀人。這些經紀人轉而將其賣給勒索軟體團伙。
前導惡意程式碼部署:威脅執行者透過廣泛的垃圾郵件活動來散佈 Qakbot 和 IcedID 之類的惡意程式碼。然後,他們從受感染的機器中篩選出高價值的勒索軟體目標。攻擊者通常會透過嵌入指令碼(這些指令碼會下載並執行惡意負載)的電子郵件附件或包含指令碼的檔案連結來傳播此類惡意程式碼。
利用易受攻擊的邊緣裝置:勒索軟體團伙經常利用防火牆、VPN 設備和檔案共用服務中未修補的漏洞來獲得未經授權的存取權限。這些安全漏洞讓攻擊者得以滲透網路並部署其惡意負載,從而導致勒索軟體事件。
請遵循以下建議,減少您遭受勒索軟體攻擊的風險:
停用瀏覽器儲存的密碼:提供組織密碼管理器的企業應防止使用者在 Web 瀏覽器中儲存認證。
保護遠端存取系統:對 RDP、RDWeb、Citrix、VPN 和其他暴露於網際網路的遠端存取服務要求多重要素驗證 (MFA)。
對使用者進行有關盜版軟體的教育:非法軟體是資訊竊取者的主要來源,他們竊取認證然後出售給初始存取經紀人。
仔細篩選電子郵件附件:考慮使用可靠的電子郵件安全解決方案,以封鎖包含作用中內容(例如巨集或指令碼)的惡意附件,防止惡意程式碼傳遞。Cloudflare 透過我們的 Cloudflare Email Security 產品,防範勒索軟體團夥常用的電子郵件傳播感染媒介。
封鎖有風險的 Office 巨集:阻止執行帶有 Web 標記的 Office 文件中的巨集,這表示它們是從網際網路下載的。
舉報 Cloudflare 網路上的濫用行為:如果您發現可疑活動,請在 Cloudflare 信任中心進行舉報。
入侵指標
從 Black Basta 聊天記錄中擷取的以下網域清單與惡意惡意程式碼和資料外流有關。雖然其中一些網域過去很活躍,不太可能出現在未來的流量中,但進行回顧分析可以幫助識別歷史聯繫。偵測與這些網域相關的過往活動,可能表明惡意程式碼曾與命令和控制伺服器進行通訊。
該表格包含在洩露的聊天記錄中識別出的重要網域及 IP 位址,但它僅提供了 Cloudforce One 追蹤的 Black Basta 指標清單中的一小部分樣本。若需詳細瞭解如何取得完整的指標清單以及額外的可操作性背景資訊,請參閱我們的威脅事件平台(僅限 Cloudforce One 客戶使用)。
關於 Cloudforce One
Cloudflare 的使命是幫助構建更好的網際網路。建立更好的網際網路離不開正義力量,以偵測�、阻止和削弱試圖侵蝕信任、為個人或政治利益而操縱網際網路的威脅執行者。Cloudforce One 應運而生,這是 Cloudflare 的專職團隊,由世界知名的威脅研究人員組成,其工作是發佈威脅情報,以便為安全性團隊提供必要的背景資訊,從而快速且自信地做出決策。我們透過獨有的見解來識別和防禦攻擊。
我們擁有的可見性基於 Cloudflare 的全球網路,這是世界上最大的網路之一,覆蓋約 20% 的網際網路。我們的服務已被遍布網際網路每個角落的數百萬使用者所採用,使我們能夠針對全球網路安全事件獲得無與倫比的見解——包括網際網路上最具代表性的攻擊。這一有利地位使 Cloudforce One 能夠執行即時偵察,從攻擊源頭阻斷攻擊,並將情報轉化為戰術成功。
