A Black Basta elnevezésű zsarolóvírus csoport, amely 2022. áprilisában tűnt fel és azóta már számos vállalkozást és kritikus infrastruktúrát támadott meg. A klasszikus ransomware modellt már minden ütőképes banda, így ők is kiegészítették az adatlopással kombinált doxing módszerrel, vagyis ha valakinek van mentése, és nem akar fizetni a helyreállító kulcsért, akkor fizessen ellopott bizalmas adatainak publikussá tételének elkerülésért.
A BlackBasta alig két év alatt több mint 300 szervezetet vettek célba, köztük olyan neves vállalatokat, mint a Deutsche Windtechnik, a Rolls-Royce, az olasz Synlab, Hyundai Európa, chilei vámhivatal vagy a Rheinmetall. Ám a bűnözők most váratlanul saját fegyverükkel kerültek szembe: kiszivárogtatással. Ugyanis február 11-én egy "ExploitWhispers" nevű felhasználó közzétette a csoport belső kommunikációját tartalmazó 50 MB méretű fájlt, bepillantást engedve ezzel működésük részleteibe.
A nyilvánosságra kerülő chat naplók 2023. szeptember 18-tól 2024. szeptember 28-ig terjedő időszak üzeneteit tartalmazzák, fényt derítve a tagok közötti kommunikáció korábban ismeretlen, titkos részleteire.
Az alkalmazás felülete orosz nyelvű, ami megerősíti a bűnözők oroszországi kötődését. Ezen a platformon egyeztettek a támadásaik tervezésének részleteiről, a célba veendő áldozatokról precíz listát vezettek, vagyis egyáltalán nem véletlenszerűen választották ki ezeket. A több millió dollárt termelő bizniszben a nyomásgyakorlást is kiemelten alkalmazták, például az áldozatokat sok esetben telefonon is hívogatták, sürgetve a fizetéseket.
Ám további érdekességek is kiderültek ezekből az anyagból: webes és RDP fiókok bejelentkezési adatai, különböző proxy és socks szerverek címei, hálózati behatolások részletei. Az is látható, hogy jó pár esetben az üzemeltetők simán átverték az áldozatokat, akik hiába fizették ki követelt váltságdíjat, ennek ellenére nem kaptak működőképes helyreállító dekódolót.
A mostani kiszivárgás egyik lehetséges oka, hogy a csoport tagjai összevesztek azon, hogy páran orosz bankok ellen is támadást indítottak. A Lapa nevű résztvevő volt egy fontos adminisztrátor, aki az információk szerint stresszes körülmények között dolgozott, alacsony fizetésért, és tevékenyen részt vett az orosz bankok elleni támadásokban. YY főadmin mellett Oleg volt a főnök, aki gyakran saját anyagi érdekeitől vezérelve öntörvényűen irányította a csoport működését.
A belső ügyek több szempontból sem zajlottak zökkenőmentesen, a beszámolókból kiderül például, hogy a Black Basta tagjai gyakran panaszkodtak saját fizetéseik késéséről, ami a csoporton belül feszültségeket okozott. Ezzel kapcsolatban a főnökük többször is ígéretet tett nekik ezek rendezésére, de ez láthatóan egy ismétlődő probléma volt.
A kiszivárgott adatok között szerepelnek a csoport által használt eszközök is, beleértve a zsarolóvírus kódját és a támadásokhoz használt egyéb kiegészítő szoftvereket, amelyek értékes információkat szolgáltathatnak a kiberbiztonsági szakembereknek számára. A kezdeti hozzáféréshez az egyik gyakran alkalmazott eszközük a jól ismert Qakbot trójai program volt, majd ezt követően telepítették saját zsarolóvírusukat.
Az eredetileg a Mega platformon megjelent anyagot időközben már eltávolították, de szerveződött rá egy külön ChatGPT interaktív eszköz, ami segíthet a feltárásban a kutatóknak. Bár a kiszivárgás tényét jó hírnek tekinthetjük, hiszen megmutatja, hogy még a legkifinomultabb kiberbűnözői csoportok sem sérthetetlenek, és akár a támadók is válhatnak célponttá.
Ugyanakkor fennáll a veszélye annak is, hogy ezek a kiszivárgott részletek receptként szolgálhatnak más rosszindulatú ransomware szereplők számára.
