Błąd Black Basta: wykorzystanie wyciekłych czatów gangu
Krótki opis zagrożeń - 17 marca 2025 r.
Przegląd
Black Basta, grupa znana z ataków typu ransomware powiązana z przestępczymi przedsiębiorstwami Ryuk i Conti, została ujawniona po wycieku jej serwera czatu Matrix, który pojawił się na kanale Telegram. Serwer czatu hostowany z domeny bestflowers247[.]online, został ujawniona przez użytkownika korzystającego z pseudonimu ExploitWhispers. Pliki, które wyciekły zawierały dokumenty JSON z wyszczególnieniem sygnatur czasowych, informacji o nadawcy i odbiorcy, identyfikatorów wątków oraz treści wiadomości. Dane te zapewniają praktyczny wgląd w działalność grupy, co pomaga zidentyfikować kluczowe konta i domeny, z których korzystają jej członkowie.
Wyciekłe dane czatu nie tylko zapewniają wgląd w mechanizmy Black Basta, ale także rzucają światło na szerszy ekosystem oprogramowania typu ransomware . Zrozumienie, w jaki sposób grupa porusza się po tym ekosystemie, daje cenną perspektywę na jego skalę i możliwości, jak również z różnymi dostępnymi metodami oceny jego skuteczności i wpływu. Jednym z podejść jest analiza transakcji kryptowalutowych przypisywanych przedsiębiorstwu przestępczemu. Kaitlin Martin z firmy Chainalysis zwróciła uwagę na ten punkt w odniesieniu do wycieku Black Basta:
"Dane on-chain i off-chain zawarte w wyciekłych czatach Black Basta pokazują, w jaki sposób grupa polega na różnych usługach internetowych, usługach firm trzecich i forach w dark webie w swojej działalności. Płatności na rzecz tych usług nie tylko przez Black Basta, ale także inne grupy ransomware, pokazują, w jakim stopniu te usługi stanowią część krytycznej infrastruktury ekosystemu ransomware."
Badając transakcje finansowe i zależności operacyjne, specjaliście mogą lepiej zrozumieć ekosystem, w którym działają i utrzymują się te grupy.
Jednym z kluczowych aspektów tego ekosystemu jest sposób, w jaki gangi wykorzystujące oprogramowanie typu ransomware wybierają swoje ofiary. Choć z pewnością prawdą jest, że niektóre branże i regiony świata zostały dotknięte tym problemem w nieproporcjonalnym stopniu, wydaje się, że gangi wykorzystujące oprogramowanie typu ransomware nie dokonują selekcji konkretnych ofiar, lecz raczej spośród puli już zainfekowanych maszyn. Gangi ransomware koordynują działania z zespołami przestępczymi, które infekują tysiące maszyn dziennie, a następnie przeglądają listę skompromitowanych systemów, aby zidentyfikować te, które należą do dobrze finansowanych przedsiębiorstw.
W wielu przypadkach gangi ransomware kupują początkowy dostęp do ofiar od pośredników, którzy przeszukują ogromne zbiory danych uwierzytelniających handlowanych i sprzedawanych na rynkach i forach przestępczych. Te dane uwierzytelniające, wykradane przez złodzieje informacji, takie jak LummaC2, często należą do kont w systemach dostępu zdalnego, takich jak RDWeb, Citrix, oraz sieciach VPN opartych na przeglądarce. Zrozumienie tego procesu selekcji podkreśla znaczenie solidnego bezpieczeństwa danych uwierzytelniających, segmentacji sieci i prewencyjnego monitorowania zagrożenia w celu zakłócania operacji oprogramowania typu ransomware , zanim przekształcą się w ataki na pełną skalę.
Przed wyciekiem, Black Basta prowadziło wysoko efektywne operacje ransomware, naruszając bezpieczeństwo licznych przedsiębiorstw i powodując straty sięgające milionów dolarów w postaci szkód i płatności okupu. Wyciekłe dane czatu dostarczają informacji na temat taktyk, technik i procedur (TTP) grupy, zapewniając wgląd w jej operacje. Korzystając z tych danych, Cloudflare śledziła aktywność Black Basta i odkryła unikalny wgląd w infrastrukturę i metody ataków. Organizacje mogą wykorzystać te informacje, aby wzmocnić swoją wiedzę na temat gangów ransomware, takich jak Black Basta, poprawić swoje zabezpieczenia i proaktywnie przewidywać ich kolejne posunięcia, zmniejszając ryzyko padnięcia ofiarą przyszłych ataków.
Cloudforce One analizuje działania TTP Black Basta
Gdy Cloudforce One zdobyło plik bestflowers.json, najpierw zidentyfikowaliśmy wszelką infrastrukturę wymienioną w czatach, koncentrując się na tych, do których mieliśmy unikalny dostęp. Podczas tego procesu zidentyfikowaliśmy techniki stosowane przez Black Basta w celu ułatwienia eksfiltracji danych i ukrycia infrastruktury zdalnej. Przeprowadziliśmy dokładną analizę tej infrastruktury, aby ocenić jej potencjalny wpływ. Nasze dochodzenie potwierdziło, że wiele domen wspomnianych na czacie nie było używanych, co sugeruje, że zostały one zapobiegawczo utworzone do zadań operacyjnych, które nigdy nie zostały zrealizowane.
Black Basta przestrzegała spójnego procesu konfigurowania kont u dostawców infrastruktury. Członkowie grupy regularnie udostępniali na czacie szczegóły tworzenia kont, w tym imię i nazwisko, adresy pocztowe i dane logowania. W adresach e-mail wykorzystano domeny o wyglądzie korporacyjnym, zamiast korzystania z bezpłatnych usług poczty e-mail. Zarządzając swoją infrastrukturą, łączyć się z różnymi sieciami i w niespójny sposób polegali na usługach zapewniających anonimowość. Choć ich hasła były dość skomplikowane, często używali ich ponownie na wielu kontach.
Po zakończeniu dochodzenia w sprawie infrastruktury Black Basta dokładnie przeanalizowaliśmy czaty, aby przeanalizować metody wstępnego dostępu pod kątem początkowego dostępu, taktyk po wykorzystaniu oraz strategii negocjacyjnych. Black Basta aktywnie wykorzystywał prekursorskie złośliwe oprogramowanie , takie jak Qakbot, w celu infiltracji ogromnej liczby urządzeń na całym świecie. Po uzyskaniu dostępu zidentyfikowali cenne cele o dużej wartości za pomocą zadań poeksploatacyjnych, w tym dobrze znanych technik, takich jak instalowanie trwałych sygnalizatorów, enumeracja katalogów i eskalowanie uprawnień.
W niektórych przypadkach naruszyli systemy przy użyciu innych metod, które obejmowały dane uwierzytelniające przechwycone przez złodzieja informacji. Cloudforce One odkryło niektóre z powiązanych kont w zbiorach danych uwierzytelniających handlowanych i swobodnie udostępnianych na kanałach Telegrama poświęconych logom programów do kradzieży informacji. Przykładowa wiadomość Telegrama, która dotyczy jednego z tych przejętych kont, przedstawia poniższy obrazek.
Zależność Black Basta od kradzieży danych uwierzytelniających i złośliwego oprogramowania podkreśla wzajemne powiązania ekosystemu ransomware – ekosystemu, który rozwija się nie tylko dzięki początkowemu dostępowi, ale także dzięki infrastrukturze finansowej, która utrzymuje jego działalność. Płatności okupu przepływają przez kryptowalutę, głównie Bitcoin. Wyciekłe czaty zawierają liczne adresy kryptowalutowe, które mogą służyć jako miejsca docelowe płatności, a ich skupienie z innymi adresami może pozwolić na analizę śladu finansowego grupy Black Basta i jej wpływu.
Grupa wspomina również o kryptowalutach przy organizowaniu płatności za infrastrukturę, z osobami składającymi zamówienia, które określają kwotę i czasami oferują kilka opcji płatności w kryptowalutach. Odzwierciedla to praktyki zaobserwowane w wyciekach czatu Conti z 2022 roku, gdzie członkowie zespołu rutynowo prosili menedżerów o dokonywanie płatności w kryptowalutach za wirtualne serwery prywatne, nazwy domen i usługi VPN .
Jak się chronić
Wiele czasopism i blogów oferuje zalecenia dotyczące ograniczania skutków ataków oprogramowania typu ransomware , ale często nie są one w stanie odnieść się do głównych przyczyn incydentów. Grupy ransomware zazwyczaj uzyskują początkowy dostęp za pomocą kilku kluczowych metod:
Kradzież danych uwierzytelniających i odsprzedaż: złodzieje informacji wykradają dane uwierzytelniające zdalnego dostępu, które są następnie sprzedawane brokerom początkowego dostępu. Brokerzy z kolei sprzedają je gangom ransomware .
Poprzedzające atak wdrożenie złośliwego oprogramowania: cyberprzestępcy dystrybuują złośliwe oprogramowanie, takie jak Qakbot i IcedID, za pośrednictwem szeroko zakrojonych kampanii spamowych. Następnie wskazują maszyny, które stanowią cenne cele dla ransomware. Napastnicy często dostarczają to złośliwe oprogramowanie za pomocą załączników do wiadomości e-mail z osadzonymi skryptami lub linków do plików zawierających skrypty, które pobierają i wykonują złośliwe ładunki.
Wykorzystywanie podatnych na ataki urządzeń brzegowych: Grupy oprogramowania typu ransomware często wykorzystują niezałatane luki w zabezpieczeniach zapór, urządzeń VPN i usług udostępniania plików, aby uzyskać nieautoryzowany dostęp. Wiele incydentów oprogramowania typu ransomware wynika z tych słabych punktów.
Postępuj zgodnie z tymi zaleceniami, aby zmniejszyć narażenie na ataki oprogramowanie typu ransomware:
Wyłączanie haseł przechowywanych w przeglądarce: przedsiębiorstwa, które zapewniają menedżera haseł dla organizacji, powinny uniemożliwiać użytkownikom zapisywanie poświadczeń w przeglądarkach Internet.
Bezpieczne systemy dostępu zdalnego: wymagają uwierzytelniania wieloskładnikowego (MFA) dla RDP, RDWeb, Citrix, VPN i innych usług dostępu zdalnego z Internetem.
Edukuj użytkowników na temat fałszywego oprogramowania: Nielegalne oprogramowanie jest głównym źródłem wykradających informacje, które wykradają dane uwierzytelniające, które następnie sprzedają brokerom początkowego dostępu.
Dokładnie filtruj załączniki wiadomości e-mail: blokuj załączniki zawierające aktywną zawartość, taką jak makra lub skrypty, aby zapobiegać dostarczaniu złośliwego oprogramowania.
Blokuj ryzykowne makra biurowe: zapobiegaj wykonywaniu makr w dokumentach Office oznaczonych symbolem Mark of the Web, co oznacza, że zostały pobrane z Internetu.
Zgłaszanie nadużyć w sieciach Cloudflare: jeśli zauważysz podejrzaną aktywność, zgłoś to na stronie Trust Hub Cloudflare.
Wskaźniki naruszenia bezpieczeństwa
Poniższa lista domen, pochodząca z dzienników czatów Black Basta, jest powiązana ze złośliwym oprogramowaniem i eksfiltracją danych. Chociaż niektóre z tych domen były aktywne w przeszłości i jest mało prawdopodobne, aby pojawiły się w ruchu w przyszłości, przeprowadzenie analizy retrospektywnej mogłoby pomóc w zidentyfikowaniu wszelkich powiązań historycznych. Wykrycie wcześniejszej aktywności związanej z tymi domenami może wskazywać na komunikację złośliwego oprogramowania z serwerem dowodzenia i kontroli.
Tabela zawiera niektóre z najważniejszych domen i adresów IP znalezionych w wyciekłych czatach, ale przedstawia jedynie próbkę wskaźników Black Basta śledzonych przez Cloudforce One. Pełną listę wskaźników wraz z dodatkowym kontekstem umożliwiającym podjęcie działań można znaleźć na platformie Cloudforce One Threat Events.
Cloudforce One
Misją Cloudflare jest budowanie lepszego Internetu. A lepszy Internet może istnieć tylko dzięki działaniom osób i organizacji, które wykrywają, zakłócają i osłabiają działania aktorów zagrożeń, którzy dążą do podważenia zaufania i wykorzystywania internetu dla osobistych lub politycznych korzyści. Dołącz do Cloudforce One — dedykowany zespół badaczy zagrożeń o światowej renomie, który działa w ramach Cloudflare i ma za zadanie publikowanie informacji o zagrożeniach, aby dostarczyć zespołom bezpieczeństwa niezbędnego kontekstu do podejmowania szybkich i pewnych decyzji. Identyfikujemy ataki i bronimy się przed nimi dysponując unikalnymi informacjami, których nie ma nikt inny.
Podstawą naszej widoczności jest globalna sieć Cloudflare – jedna z największych na świecie – która obejmuje około 20% Internet. Z naszych usług korzystają miliony użytkowników w każdym zakątku Internet, co zapewnia nam niezrównany wgląd w globalne wydarzenia, w tym najbardziej interesujące ataki w Internecie. Ten punkt obserwacyjny pozwala Cloudforce One prowadzić rozpoznanie w czasie rzeczywistym, zakłócać ataki od momentu ich uruchomienia oraz przekształcić informacje wywiadowcze w sukces taktyczny.
Otrzymuj informacje od Cloudforce One
Powiązane zasoby
Od środka LameDuck: analiza anonimowych operacji zagrożenie w Sudanie
Raport dotyczący zagrożeń
Odkrywanie działalności SloppyLemming w Azji Południowej
Raport dotyczący zagrożeń
Wzrost liczby oszustw w transporcie towarowym: naruszenia bezpieczeństwa w globalnym łańcuchu dostaw
Migawka kampanii