Black Basta勒索软件团伙内部通信泄露事件总结

事件概述

全球最活跃的勒索软件团伙之一Black Basta的内部通信记录被泄露，暴露了其战术、商业秘密以及成员之间的内部矛盾。这些通信记录包括从2023年9月到2024年9月期间，Black Basta成员在Matrix聊天平台上发送的超过20万条消息。泄露者表示，此举是对Black Basta攻击俄罗斯银行的报复。泄露者的身份尚不明确，不清楚是内部人员还是外部人员获取了这些机密记录。

Black Basta的攻击目标

2023年，FBI和网络安全与基础设施安全局（CISA）指出，Black Basta针对全球500个组织发动了攻击，涉及美国16个关键基础设施部门中的12个。其中，Black Basta攻击了位于圣路易斯的医疗系统Ascension，该系统在19个州拥有140家医院。其他受害者包括现代欧洲、英国外包公司Capita、智利政府海关机构以及英国公用事业公司Southern Water。该团伙主要由俄语使用者组成，自2022年以来一直活跃。

内部矛盾与领导层问题

泄露的通信记录揭示了Black Basta内部的矛盾，尤其是在其一名领导人被捕后，其他成员面临被追踪的风险增加，导致内部紧张局势升级。现任领导人Oleg Nefedov与其下属之间的分歧加剧，其中一个争议点是他决定攻击俄罗斯的一家银行，这使得Black Basta成为该国执法部门的重点关注对象。研究人员指出，Oleg的个人经济利益主导了团伙的行动，忽视了团队的整体利益。

泄露内容的其他细节

泄露的文件还包括其他成员的详细信息，如两名使用化名Lapa和YY的管理员，以及与Qakbot勒索软件团伙有关联的威胁行为者Cortes。此外，泄露的内容还包括超过350个来自ZoomInfo的独特链接，ZoomInfo是一家提供公司和商业个人数据的云服务。这些链接揭示了Black Basta成员如何利用该服务研究其目标公司。

安全公司的反应

安全公司Hudson Rock已将泄露的聊天记录输入ChatGPT，创建了BlackBastaGPT，以帮助研究人员分析Black Basta的操作。安全公司Prodraft的一名成员表示，此次泄露再次证明网络犯罪分子是他们自己最大的敌人。

总结

此次泄露事件不仅暴露了Black Basta的内部运作和矛盾，还揭示了其在全球范围内的攻击目标和战术。安全公司已经开始利用这些泄露的信息进行进一步分析，以应对该团伙的威胁。