Black Basta 勒索軟件組織內(nèi)部聊天記錄的重大泄露事件，為網(wǎng)絡(luò)安全研究人員提供了前所未有的洞察，揭示了其運(yùn)作模式。

泄露事件背景與影響

Telegram 用戶 ExploitWhispers 公布了此次泄露事件，其中包含約 20 萬條聊天記錄，時(shí)間跨度從 2023 年 9 月到 2024 年 6 月。此次泄密的重要性可與 2022 年影響 Conti 勒索軟件團(tuán)伙的泄露事件相提并論，為威脅情報(bào)專家提供了關(guān)于 Black Basta 的能力、工具和動(dòng)機(jī)的寶貴信息。

Black Basta 于 2022 年出現(xiàn)，采用勒索軟件即服務(wù)（RaaS）模式運(yùn)營(yíng)，其目標(biāo)遍布全球多個(gè)國(guó)家，包括美國(guó)、日本、澳大利亞、英國(guó)、加拿大和新西蘭。這個(gè)以經(jīng)濟(jì)利益為導(dǎo)向的俄語(yǔ)組織采用雙重勒索策略，不僅加密受害者的數(shù)據(jù)，還威脅如果不支付贖金，將公開竊取的信息。

其影響范圍廣泛，在 2022 年 4 月至 2024 年 5 月期間，北美、歐洲和澳大利亞的 500 多家實(shí)體受到影響。2024 年 5 月 10 日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）與聯(lián)邦調(diào)查局（FBI）聯(lián)合發(fā)布的一份報(bào)告詳細(xì)描述了 Black Basta 的廣泛活動(dòng)。報(bào)告指出，該組織已針對(duì) 16 個(gè)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)中的 12 個(gè)，研究人員特別強(qiáng)調(diào)了其對(duì)醫(yī)療組織的關(guān)注，因?yàn)檫@些組織規(guī)模大且潛在影響深遠(yuǎn)。

這份與美國(guó)衛(wèi)生與公眾服務(wù)部以及多州信息共享與分析中心聯(lián)合發(fā)布的分析報(bào)告，提供了關(guān)于該組織的戰(zhàn)術(shù)、技術(shù)和程序（TTPs）以及入侵指標(biāo)的關(guān)鍵信息。

攻擊方法與技術(shù)手段

根據(jù) Intel471 威脅獵手對(duì)泄露通信的分析，Black Basta 的攻擊方法通常從初始訪問開始，主要通過網(wǎng)絡(luò)釣魚郵件（包含惡意附件或鏈接）、被入侵的網(wǎng)站或利用已知漏洞。在最近的活動(dòng)中，觀察到的附屬組織向受害者發(fā)送大量垃圾郵件，隨后通過電話冒充 IT 人員，提供垃圾郵件問題的幫助。在這些通話中，受害者被說服下載遠(yuǎn)程支持工具，從而使攻擊者獲得對(duì)其系統(tǒng)的訪問權(quán)限。

泄露事件還揭示了 Black Basta 操作者使用的復(fù)雜技術(shù)工具庫(kù)。在偵察階段，他們使用 ifconfig.exe、netstat.exe 和 ping.exe 等發(fā)現(xiàn)工具，以及濫用 WMIC 來收集目標(biāo)網(wǎng)絡(luò)的信息。SoftPerfect 網(wǎng)絡(luò)掃描器（netscan.exe）專門用于調(diào)查受害者網(wǎng)絡(luò)。

為了繞過防御，該組織利用臨時(shí)目錄、濫用后臺(tái)智能傳輸服務(wù)（BITS）組件，并篡改 Windows Defender。有時(shí)還會(huì)部署名為 Backstab 的工具，禁用可能干擾其操作的防病毒產(chǎn)品。通過 AnyDesk 等遠(yuǎn)程管理工具建立命令和控制訪問，而橫向移動(dòng)則通過 BITSAdmin 和 PsExec 實(shí)現(xiàn)。其工具庫(kù)中還包括 Splashtop、Screen Connect 和 Cobalt Strike 信標(biāo)。

在憑證訪問方面，Black Basta 操作者利用 Mimikatz 獲取憑證，并在受感染環(huán)境中提升權(quán)限。PowerShell 腳本經(jīng)常被濫用于下載文件和執(zhí)行惡意載荷。數(shù)據(jù)竊取是其雙重勒索計(jì)劃中的關(guān)鍵步驟，主要通過 Rclone 工具進(jìn)行，有時(shí)也使用 WinSCP。

在確保竊取數(shù)據(jù)后，操作者開始加密本地和網(wǎng)絡(luò)驅(qū)動(dòng)器上的文件，并為加密文件附加 “.basta” 擴(kuò)展名，同時(shí)放置包含聯(lián)系方式和特定 URL 的勒索說明。為了防止恢復(fù)操作，Black Basta 攻擊者使用命令 “vssadmin.exe delete shadows /all /quiet” 刪除卷影副本，并通過創(chuàng)建計(jì)劃任務(wù)實(shí)現(xiàn)持久化。

該組織通過聊天通信維護(hù)操作安全，其中包括關(guān)于目標(biāo)選擇和勒索軟件部署技術(shù)的討論，而這些信息現(xiàn)已通過泄露事件暴露。此次揭露的技術(shù)細(xì)節(jié)為網(wǎng)絡(luò)安全防御者提供了寶貴信息，幫助他們制定更好的檢測(cè)和緩解策略，以應(yīng)對(duì)這一臭名昭著的威脅組織。