Πρόσφατα, διέρρευσαν πάνω από 200.000 εσωτερικά μηνύματα της ομάδας ransomware Black Basta, αποκαλύπτοντας τις τακτικές τους και εσωτερικές διαμάχες μεταξύ των μελών.
Σύμφωνα με αναφορές από το εξωτερικό, μια τεράστια διαρροή εσωτερικών αρχείων συνομιλιών από την ομάδα ransomware Black Basta έχει αποκαλύψει βασικές λεπτομέρειες σχετικά με τα μέλη, τις επιχειρήσεις και τα θύματα της οργάνωσης, ενδεχομένως αποκαλύπτοντας τα άτομα πίσω από αυτήν τη διαβόητη εγκληματική επιχείρηση στον κυβερνοχώρο.
Τα διαρρεύσαντα αρχεία συνομιλιών αποκάλυψαν βασικά πρόσωπα εντός της ομάδας ransomware Black Basta, ρίχνοντας φως στη δομή της ιεραρχίας της. Στην κορυφή βρίσκεται ο Oleg Nefedovaka, που λειτουργεί υπό τα ψευδώνυμα “Tramp,” “AA,” και “GG,” και υπηρετεί ως ο κύριος αρχηγός της ομάδας.
Άλλα εξέχοντα μέλη περιλαμβάνουν διαχειριστές γνωστούς ως “YY” και “Lapa,” καθώς και τον “Cortes,” που συνδέεται με τις επιχειρήσεις του botnet Qakbot34. Αξιοσημείωτο είναι ότι η διαρροή αποκάλυψε πως ένα μέλος της εγκληματικής επιχείρησης είναι μόλις 17 ετών, υπογραμμίζοντας το ευρύ ηλικιακό φάσμα εντός της ομάδας.
Αυτή η πρωτοφανής ματιά στη δομή ηγεσίας της Black Basta παρέχει πολύτιμες πληροφορίες για τις υπηρεσίες επιβολής του νόμου και τους ερευνητές κυβερνοασφάλειας που εργάζονται για την καταπολέμηση των απειλών ransomware.
Η Black Basta, που εμφανίστηκε τον Απρίλιο του 2022, λειτουργεί ως ransomware-as-a-service (RaaS). Μερικά από τα θύματά τους είναι η γερμανική αμυντική εταιρεία Rheinmetall, το ευρωπαϊκό τμήμα της Hyundai, η BT Group (πρώην British Telecom), ο αμερικανικός γίγαντας υγειονομικής περίθαλψης Ascension, η κυβερνητική εταιρεία ABB, η Αμερικανική Οδοντιατρική Ένωση, η βρετανική εταιρεία τεχνολογίας εξωτερικής ανάθεσης Capita, η Δημόσια Βιβλιοθήκη του Τορόντο και η Yellow Pages Canada.
Οι Τακτικές Ransomware Αποκαλύπτονται
Τα διαρρεύσαντα αρχεία συνομιλιών αποκάλυψαν τις εξελιγμένες τακτικές ransomware της Black Basta, αποκαλύπτοντας τη χρήση του ZoomInfo για την έρευνα πιθανών στόχων, με 380 μοναδικούς συνδέσμους εταιρειών να βρίσκονται στις συνομιλίες.
Η ομάδα εφαρμόζει μια στρατηγική διπλού εκβιασμού, κρυπτογραφώντας δεδομένα και απειλώντας να διαρρεύσει κλεμμένες πληροφορίες. Οι απαιτήσεις λύτρων τους έχουν φτάσει έως και τα 28,7 εκατομμύρια δολάρια σε ορισμένες περιπτώσεις.
Οι χειριστές της Black Basta χρησιμοποιούν τεχνικές κοινωνικής μηχανικής, συμπεριλαμβανομένης της προσποίησης εταιρικής υποστήριξης, για να αποκτήσουν πρόσβαση σε συστήματα στόχων. Η ομάδα επικεντρώνεται κυρίως σε οργανισμούς σε αγγλόφωνες χώρες και έχει συνδεθεί με επιθέσεις σε κρίσιμες υποδομές και παγκόσμιες επιχειρήσεις.
Αιτία Διαρροής Αρχείου Συνομιλίας
Τα εκτενή αρχεία συνομιλιών δημοσιεύθηκαν στις 11 Φεβρουαρίου 2025 από έναν χρήστη γνωστό ως “ExploitWhispers” στο Telegram. Αρχικά ανέβηκαν στο MEGA, αλλά αργότερα μεταφέρθηκαν σε ένα ειδικό κανάλι στο Telegram για ευρύτερη διάδοση.
Ο υπεύθυνος της διαρροής ανέφερε ότι πρόκειται για εκδίκηση λόγω επιθέσεων της Black Basta σε ρωσικές τράπεζες, αν και δεν είναι σαφές αν πρόκειται για εσωτερικό μέλος ή εξωτερικό παράγοντα που απέκτησε πρόσβαση στις επικοινωνίες της ομάδας.
Αυτό το περιστατικό παρουσιάζει ομοιότητες με τη διαρροή της ομάδας ransomware Conti το 2022, η οποία συνέβη αφού η ομάδα δήλωσε υποστήριξη για την εισβολή της Ρωσίας στην Ουκρανία.
Η διαρροή περιέχει πάνω από 200.000 μηνύματα που καλύπτουν την περίοδο από τις 18 Σεπτεμβρίου 2023 έως τις 28 Σεπτεμβρίου 2024, παρέχοντας μια πρωτοφανή εικόνα για τις δραστηριότητες της ομάδας. Η διαρροή των επικοινωνιών αποκαλύπτει επίσης εσωτερικές συγκρούσεις εντός της ομάδας, οι οποίες επιδεινώθηκαν μετά τη σύλληψη ενός από τους ηγέτες της, αυξάνοντας τον φόβο για περαιτέρω συλλήψεις μελών.
Επίδραση της διαρροής Black Basta
Η διαρροή είχε σημαντικές επιπτώσεις για την Black Basta, αποκαλύπτοντας εσωτερικές συγκρούσεις και λειτουργικές προκλήσεις. Η ομάδα ήταν σε μεγάλο βαθμό ανενεργή από τις αρχές του 2025 λόγω εσωτερικών διαφωνιών, με ορισμένους χειριστές να φέρονται να εξαπατούν θύματα συλλέγοντας λύτρα χωρίς να παρέχουν λειτουργικούς αποκρυπτογράφους.
Αυτή η αποκάλυψη έφερε επίσης στο φως δεδομένα που παρέχουν πολύτιμες πληροφορίες για απειλές, προσφέροντας γνώσεις για τις μεθόδους και τα θύματα της ομάδας.
Οι ειδικοί στον κυβερνοασφάλεια και οι υπηρεσίες επιβολής του νόμου αγωνίζονται τώρα να εξάγουν και να αναλύσουν αυτόν τον πλούτο πληροφοριών, που θα μπορούσε ενδεχομένως να οδηγήσει στην ταυτοποίηση και δίωξη βασικών μελών της συμμορίας ransomware Black Basta.