Collegamenti tra Black Basta e le autorità russe: rivelazioni dai log delle chat trapelate
Un recente leak di oltre 200.000 messaggi interni tra i membri dell’operazione ransomware Black Basta ha svelato possibili collegamenti tra il gruppo di e-crime e le autorità russe. Pubblicato il mese scorso da un utente di Telegram noto come @ExploitWhispers, il leak copre il periodo da settembre 2023 a settembre 2024.
Fuga di Oleg Nefedov e supporto delle autorità
Secondo l’analisi della società di cybersecurity Trellix, il presunto leader di Black Basta, Oleg Nefedov (alias GG o AA), potrebbe aver ricevuto aiuto da funzionari russi dopo il suo arresto a Yerevan, Armenia, nel giugno 2024, riuscendo a fuggire tre giorni dopo. Nei messaggi, GG afferma di aver contattato funzionari di alto rango per attraversare un “corridoio verde” e facilitare l’estrazione.
Struttura e operazioni del gruppo
Tra le altre scoperte significative, si ritiene che il gruppo abbia due uffici a Mosca e utilizzi OpenAI ChatGPT per comporre lettere formali fraudolente in inglese, parafrasare testi, riscrivere malware basato su C# in Python, eseguire il debug del codice e raccogliere dati delle vittime. Alcuni membri del gruppo si sovrappongono ad altre operazioni ransomware come Rhysida e CACTUS.
Sviluppo di malware e collaborazioni
Il developer di PikaBot è un cittadino ucraino noto online come mecor (alias n3auxaxl), e Black Basta ha impiegato un anno per sviluppare il malware loader dopo la disgregazione di QakBot. Il gruppo ha noleggiato DarkGate da Rastafareye e utilizzato Lumma Stealer per rubare credenziali e distribuire malware aggiuntivo. Inoltre, hanno sviluppato un framework di comando e controllo post-sfruttamento chiamato Breaker per stabilire persistenza, eludere la rilevazione e mantenere l’accesso ai sistemi di rete.
Nuovi sviluppi e framework BRUTED
GG ha collaborato con mecor su un nuovo ransomware derivato dal codice sorgente di Conti, portando al rilascio di un prototipo scritto in C, suggerendo un possibile sforzo di rebranding. Nel frattempo, EclecticIQ ha rivelato il lavoro di Black Basta su un framework di forza bruta chiamato BRUTED, progettato per eseguire scansioni internet automatizzate e attacchi di credential stuffing contro dispositivi di rete edge, inclusi firewall e soluzioni VPN ampiamente utilizzate nelle reti aziendali.
Automazione degli attacchi e monetizzazione
Ci sono prove che suggeriscono che il gruppo di cybercriminali utilizza la piattaforma basata su PHP dal 2023 per eseguire attacchi di credential stuffing e forza bruta su larga scala su dispositivi target, consentendo agli attori delle minacce di ottenere visibilità nelle reti delle vittime. “Il framework BRUTED consente agli affiliati di Black Basta di automatizzare e scalare questi attacchi, espandendo il loro pool di vittime e accelerando la monetizzazione per guidare le operazioni ransomware,” ha affermato il ricercatore di sicurezza Arda Büyükkaya.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!