Недавняя утечка данных с сервера чата Black Basta Matrix предоставила ценную информацию о тактике, методах и процедурах (TTP) этой известной группы программ-вымогателей. Группа связана с преступными организациями Ryuk и Conti. Утечка произошла через Telegram-канал и включает файлы формата JSON, которые содержат ключевую информацию, включая временные метки, участников и содержание сообщений между членами группы.
Ключевые выводы утечки
Данные, полученные из утечки, имеют важное значение для понимания методик Black Basta и динамики распространения программ-вымогателей. Вот некоторые из основных моментов:
- Выбор жертв: Black Basta обычно выбирает хорошо финансируемые предприятия из уже скомпрометированных компьютеров, а не на основе определенных критериев.
- Экосистема доступа: Первоначальный доступ часто приобретается у брокеров скомпрометированных учетных данных, полученных через вредоносные программы, такие как LummaC2.
- Типы учетных систем: Скомпрометированные учетные данные часто принадлежат системам удаленного доступа, таким как RDWeb и Citrix.
- Методы эксплуатации: После получения доступа к сети Black Basta использует различные методы для выявления и эксплуатации высокозначительных целей.
Технические аспекты и инструменты
В ходе анализа чатов было установлено, что Black Basta применяет последовательный подход к созданию учетных записей, часто используя домены корпоративного вида вместо бесплатных почтовых сервисов. Также выявлено, что хакеры предусмотрительно делятся конфиденциальными данными учетной записи в своих сообщениях.
Black Basta использовала вредоносные программы-предшественники, такие как Qakbot, для проникновения в целевые системы. Получив доступ к сети, они используют технологии для поддержания постоянства и повышения привилегий.
Финансовые операции и криптовалюты
Полученные данные также проливают свет на финансовые операции Black Basta. Группа демонстрирует зависимость от криптовалют, в частности, биткоина, как для выплат выкупа, так и для операционных расходов. В обсуждениях отмечаются следующие моменты:
- Использование ряда криптовалютных адресов для проведения платежей.
- Стратегическое управление финансами как для выплат выкупа, так и для покупки услуг.
Таким образом, утечка данных Black Basta предоставляет важные сведения для изучения методов работы преступных группировок и подчеркивает необходимость усиления мер безопасности для предотвращения подобных атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Утечка данных Black Basta: разоблачение тактик программ-вымогателей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.