![泄露事件揭露 Black Basta 勒索软件组织的战术、技术与流程]( "泄露事件揭露 Black Basta 勒索软件组织的战术、技术与流程")
Black Basta 勒索软件组织内部聊天记录的重大泄露事件,为网络安全研究人员提供了前所未有的洞察,揭示了其运作模式。
Telegram 用户 ExploitWhispers 公布了此次泄露事件,其中包含约 20 万条聊天记录,时间跨度从 2023 年 9 月到 2024 年 6 月。此次泄密的重要性可与 2022 年影响 Conti 勒索软件团伙的泄露事件相提并论,为威胁情报专家提供了关于 Black Basta 的能力、工具和动机的宝贵信息。
Black Basta 于 2022 年出现,采用勒索软件即服务(RaaS)模式运营,其目标遍布全球多个国家,包括美国、日本、澳大利亚、英国、加拿大和新西兰。这个以经济利益为导向的俄语组织采用双重勒索策略,不仅加密受害者的数据,还威胁如果不支付赎金,将公开窃取的信息。
其影响范围广泛,在 2022 年 4 月至 2024 年 5 月期间,北美、欧洲和澳大利亚的 500 多家实体受到影响。2024 年 5 月 10 日,美国网络安全和基础设施安全局(CISA)与联邦调查局(FBI)联合发布的一份报告详细描述了 Black Basta 的广泛活动。报告指出,该组织已针对 16 个关键基础设施行业中的 12 个,研究人员特别强调了其对医疗组织的关注,因为这些组织规模大且潜在影响深远。
这份与美国卫生与公众服务部以及多州信息共享与分析中心联合发布的分析报告,提供了关于该组织的战术、技术和程序(TTPs)以及入侵指标的关键信息。
根据 Intel471 威胁猎手对泄露通信的分析,Black Basta 的攻击方法通常从初始访问开始,主要通过网络钓鱼邮件(包含恶意附件或链接)、被入侵的网站或利用已知漏洞。在最近的活动中,观察到的附属组织向受害者发送大量垃圾邮件,随后通过电话冒充 IT 人员,提供垃圾邮件问题的帮助。在这些通话中,受害者被说服下载远程支持工具,从而使攻击者获得对其系统的访问权限。
泄露事件还揭示了 Black Basta 操作者使用的复杂技术工具库。在侦察阶段,他们使用 ifconfig.exe、netstat.exe 和 ping.exe 等发现工具,以及滥用 WMIC 来收集目标网络的信息。SoftPerfect 网络扫描器(netscan.exe)专门用于调查受害者网络。
为了绕过防御,该组织利用临时目录、滥用后台智能传输服务(BITS)组件,并篡改 Windows Defender。有时还会部署名为 Backstab 的工具,禁用可能干扰其操作的防病毒产品。通过 AnyDesk 等远程管理工具建立命令和控制访问,而横向移动则通过 BITSAdmin 和 PsExec 实现。其工具库中还包括 Splashtop、Screen Connect 和 Cobalt Strike 信标。
在凭证访问方面,Black Basta 操作者利用 Mimikatz 获取凭证,并在受感染环境中提升权限。PowerShell 脚本经常被滥用于下载文件和执行恶意载荷。数据窃取是其双重勒索计划中的关键步骤,主要通过 Rclone 工具进行,有时也使用 WinSCP。
在确保窃取数据后,操作者开始加密本地和网络驱动器上的文件,并为加密文件附加 “.basta” 扩展名,同时放置包含联系方式和特定 URL 的勒索说明。为了防止恢复操作,Black Basta 攻击者使用命令 “vssadmin.exe delete shadows /all /quiet” 删除卷影副本,并通过创建计划任务实现持久化。
该组织通过聊天通信维护操作安全,其中包括关于目标选择和勒索软件部署技术的讨论,而这些信息现已通过泄露事件暴露。此次揭露的技术细节为网络安全防御者提供了宝贵信息,帮助他们制定更好的检测和缓解策略,以应对这一臭名昭著的威胁组织。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3830147.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论