В сети опубликован архив логов из внутреннего чата Matrix, где якобы общались операторы вымогательского Black Basta. ИБ-исследователи полагают, что из-за масштабного внутреннего конфликта группировка фактически прекратила свое существование в начале 2025 года.
Некто под ником ExploitWhispers сначала выложил логи чатов в файлообменник MEGA, откуда их уже удалили, а затем загрузил их в отдельный Telegram-канал. При этом неизвестно, кем именно является ExploitWhispers: ИБ-исследователем, конкурентом или недовольным членом хак-группы. Заметим, что русский язык явно не является для него родным.
Утечка содержит сообщения, которыми участники группировки обменивались в период с 18 сентября 2023 года по 28 сентября 2024 года.
Как сообщают специалисты швейцарской компании Prodaft, одними из первых заметившие происходящее, этот «слив» может являться прямым следствием того, что группировка якобы атаковала российские банки. Так, некоторым участникам команды это якобы не понравилось, поскольку они опасались, что последует ответ со стороны российских властей.
«Мы заметили, что группа Black Basta (Vengeful Mantis) практически не проявляла активности с начала года из-за внутренних конфликтов. Некоторые из ее операторов обманывали жертв, собирая выкупы и не предоставляя в ответ работающие дешифраторы, — пишут эксперты Prodaft. — 11 февраля 2025 года произошла крупная утечка, в результате которой были раскрыты логи внутренних чатов Black Basta в Matrix. Сливший их человек утверждает, что опубликовал эти данные, потому что группировка нацелилась на российские банки. Эта утечка очень похожа на предыдущие утечки Conti».
Как сообщает издание Bleeping Computer, анализ логов показал, что они содержат широкий спектр информации, включая фишинговые шаблоны и электронные адреса для их отправки, криптовалютные адреса, учетные данные жертв и так далее.
Также в логах были найдены 367 уникальных ссылок ZoomInfo, что может свидетельствовать о вероятном количестве компаний-жертв. Вымогательские группировки нередко используют ZoomInfo для обмена информацией о жертвах и во время ведения переговоров.
Как рассказывает аналитик компании Prodaft, известный под ником 3xp0rt, ExploitWhispers поделился информацией о некоторых ключевых членах Black Basta, включая Lapa (один из администраторов), Cortes (связан с группой Qakbot), YY (главный администратор Black Basta) и Trump (он же GG и AA), который якобы является главой группировки.
Напомним, что Black Basta активна с апреля 2022 года и работает по схеме Ransomware-as-a-Service («Вымогатель-как-услуга», RaaS). За это время операторы малвари атаковали множество известных организаций, включая немецкого оборонного подрядчика Rheinmetall, европейское подразделение Hyundai, компанию ABB, Knauf, Публичную библиотеку Торонто, Американскую ассоциацию стоматологов, Sobeys, Yellow Pages Canada и так далее.
ИБ-специалисты полагают, что Black Basta является ребрендингом известной хак-группы Conti: на это указывают сходства используемых техник хакеров и стилей ведения переговоров.
По данным Агентства по кибербезопасности и защите инфраструктуры США (CISA) и ФБР, в период с апреля 2022 года по май 2024 года операторы Black Basta успешно атаковали более 500 организаций.
