Добавить в корзинуПозвонить
Найти в Дзене
ОК
647 подписчиков

Утечка чат-логов «Black Basta»

34
3 мин
Недавняя утечка внутренних чат-логов группы Black Basta, ответственной за масштабные кибератаки по всему миру, пролила свет на организацию, тактики и внутренние конфликты одного из самых опасных ransomware-сообществ. Более 200 000 сообщений, опубликованных анонимным источником под псевдонимом ExploitWhispers, раскрыли иерархию группы, методы выбора жертв и даже личность 17-летнего участника. Эти данные не только стали ударом по репутации Black Basta, но и предоставили правоохранительным органам и исследователям кибербезопасности беспрецедентные возможности для анализа. Во главе Black Basta стоит Олег Нефедовка, известный под псевдонимами «Trump», «AA» и «GG». Его связывают с прекратившей существование группой Conti, которая распалась после поддержки российского вторжения в Украину в 2022 году. Администраторы «YY» и «Lapa» отвечают за операционную деятельность, включая координацию фишинговых атак и управление ботнетом Qakbot. Особый интерес вызывает участник под ником «Cortes», связанны
Оглавление

Как внутренние переписки раскрыли структуру крупнейшей группы вымогателей

Недавняя утечка внутренних чат-логов группы Black Basta, ответственной за масштабные кибератаки по всему миру, пролила свет на организацию, тактики и внутренние конфликты одного из самых опасных ransomware-сообществ. Более 200 000 сообщений, опубликованных анонимным источником под псевдонимом ExploitWhispers, раскрыли иерархию группы, методы выбора жертв и даже личность 17-летнего участника. Эти данные не только стали ударом по репутации Black Basta, но и предоставили правоохранительным органам и исследователям кибербезопасности беспрецедентные возможности для анализа.

Структура руководства Black Basta: от псевдонимов до реальных лиц

Лидеры группы и их роли

Во главе Black Basta стоит Олег Нефедовка, известный под псевдонимами «Trump», «AA» и «GG». Его связывают с прекратившей существование группой Conti, которая распалась после поддержки российского вторжения в Украину в 2022 году. Администраторы «YY» и «Lapa» отвечают за операционную деятельность, включая координацию фишинговых атак и управление ботнетом Qakbot. Особый интерес вызывает участник под ником «Cortes», связанный с эксплуатацией уязвимостей в сетевом оборудовании.

Возрастное разнообразие в киберпреступности

Утечка подтвердила участие несовершеннолетних: один из членов группы, активно участвующий в атаках, на момент переписки был 17 лет. Это поднимает вопросы о методах вербовки и психологических аспектах вовлечения молодежи в киберпреступность. Эксперты отмечают, что подростки часто привлекаются из-за их технических навыков и меньшей осведомлённости о юридических последствиях.

Тактики вымогательства: от ZoomInfo до двойного шантажа

Механизмы выбора целей

Black Basta использовала платформу ZoomInfo для сбора информации о 380 компаниях, что позволило им проводить целевые атаки на организации в англоязычных странах. В чат-логах обнаружены шаблоны фишинговых писем, имитирующих обращения технической поддержки. Например, сообщение от 11 апреля 2024 года начиналось с фразы: «Здравствуйте, меня зовут Эрик, я представитель группы Black Basta, касательно недавнего инцидента безопасности в вашей компании».

Стратегия двойного шантажа

Группа сочетает шифрование данных с угрозами их публикации, требуя выкуп в криптовалюте. Самый крупный зафиксированный запрос составил $28,7 млн за 1,5 ТБ данных. Переговоры с жертвами включали «скидки» до 50% при оплате в течение 48 часов, что создавало психологическое давление. Интересно, что в 2024 году общий объём выплат ransomware-группам снизился на 35%, что могло повлиять на агрессивность тактик Black Basta.

Причины утечки: внутренние конфликты и российские банки

Конфликт интересов

PRODAFT отмечает, что утечка стала следствием внутренних разногласий: часть операторов собирала выкупы, не предоставляя ключи дешифрования. Это подорвало доверие внутри группы и привело к её неактивности в начале 2025 года. Особую роль сыграла атака на российские банки, что противоречило негласным правилам киберпреступного сообщества.

Сравнение с утечкой Conti

Ситуация напоминает инцидент 2022 года с группой Conti, чьи чат-логи были обнародованы после поддержки российских действий в Украине. Оба случая демонстрируют, как политические факторы влияют на стабильность киберпреступных организаций.

-2

Последствия для Black Basta и кибербезопасности

Операционные потери

Утечка раскрыла ранее неизвестные цели, включая компании Fisker, Cerner Corp и Hotelplan, и подтвердила использование эксплойтов для Citrix, Ivanti и Fortinet. Это позволяет компаниям усилить защиту уязвимых систем.

Реакция сообщества

Исследователи создали AI-чатбот BlackBastaGPT для анализа логов, что ускоряет извлечение данных о TTPs (Tactics, Techniques, Procedures). Hudson Rock и PRODAFT уже опубликовали отчёты, связывающие Black Basta с фишинговыми кампаниями через компрометированные аккаунты Microsoft Quick Assist.

Заключение

Утечка чат-логов Black Basta подчёркивает важность своевременного обновления ПО, сегментации сетей и обучения сотрудников. Организациям стоит обратить внимание на подозрительные звонки от «техподдержки» и внедрить многофакторную аутентификацию. Для правоохранительных органов данные стали ключом к возможной идентификации членов группы через анализ криптовалютных транзакций и цифровых следов.

Подпишитесь, чтобы не пропустить новые статьи о кибербезопасности и современных цифровых угрозах.

1