В сети опубликован архив логов из внутреннего чата Matrix, где якобы общались операторы вымогательского Black Basta.
ИБ-исследователи полагают, что из-за масштабного внутреннего конфликта группировка фактически прекратила свое существование в начале 2025 года.
Некто под ником ExploitWhispers сначала выложил логи чатов в файлообменник MEGA, откуда их уже удалили, а затем загрузил их в отдельный Telegram-канал. При этом неизвестно, кем именно является ExploitWhispers: ИБ-исследователем, конкурентом или недовольным членом хак-группы. Заметим, что русский язык явно не является для него родным.
Утечка содержит сообщения, которыми участники группировки обменивались в период с 18 сентября 2023 года по 28 сентября 2024 года.
Как специалисты швейцарской компании Prodaft, одними из первых заметившие происходящее, этот «слив» может являться прямым следствием того, что группировка якобы атаковала российские банки. Так, некоторым участникам команды это якобы не понравилось, поскольку они опасались, что последует ответ со стороны российских властей.
Как сообщает издание , анализ логов показал, что они содержат широкий спектр информации, включая фишинговые шаблоны и электронные адреса для их отправки, криптовалютные адреса, учетные данные жертв и так далее.
Также в логах были найдены 367 уникальных ссылок ZoomInfo, что может свидетельствовать о вероятном количестве компаний-жертв. Вымогательские группировки нередко используют ZoomInfo для обмена информацией о жертвах и во время ведения переговоров.
Как аналитик компании Prodaft, известный под ником 3xp0rt, ExploitWhispers поделился информацией о некоторых ключевых членах Black Basta, включая Lapa (один из администраторов), Cortes (связан с группой Qakbot), YY (главный администратор Black Basta) и Trump (он же GG и AA), который якобы является главой группировки.
Напомним, что Black Basta активна с апреля 2022 года и работает по схеме Ransomware-as-a-Service («Вымогатель-как-услуга», RaaS). За это время операторы малвари атаковали множество известных организаций, включая немецкого оборонного подрядчика , европейское подразделение , компанию , , Публичную библиотеку Торонто, Американскую ассоциацию стоматологов, Sobeys, Yellow Pages Canada и так далее.
ИБ-специалисты полагают, что Black Basta является ребрендингом известной хак-группы Conti: на это указывают сходства используемых техник хакеров и стилей ведения переговоров.
По Агентства по кибербезопасности и защите инфраструктуры США (CISA) и ФБР, в период с апреля 2022 года по май 2024 года операторы Black Basta успешно атаковали более 500 организаций.
ИБ-исследователи полагают, что из-за масштабного внутреннего конфликта группировка фактически прекратила свое существование в начале 2025 года.
Некто под ником ExploitWhispers сначала выложил логи чатов в файлообменник MEGA, откуда их уже удалили, а затем загрузил их в отдельный Telegram-канал. При этом неизвестно, кем именно является ExploitWhispers: ИБ-исследователем, конкурентом или недовольным членом хак-группы. Заметим, что русский язык явно не является для него родным.
Утечка содержит сообщения, которыми участники группировки обменивались в период с 18 сентября 2023 года по 28 сентября 2024 года.
Как специалисты швейцарской компании Prodaft, одними из первых заметившие происходящее, этот «слив» может являться прямым следствием того, что группировка якобы атаковала российские банки. Так, некоторым участникам команды это якобы не понравилось, поскольку они опасались, что последует ответ со стороны российских властей.
Как сообщает издание , анализ логов показал, что они содержат широкий спектр информации, включая фишинговые шаблоны и электронные адреса для их отправки, криптовалютные адреса, учетные данные жертв и так далее.
Также в логах были найдены 367 уникальных ссылок ZoomInfo, что может свидетельствовать о вероятном количестве компаний-жертв. Вымогательские группировки нередко используют ZoomInfo для обмена информацией о жертвах и во время ведения переговоров.
Как аналитик компании Prodaft, известный под ником 3xp0rt, ExploitWhispers поделился информацией о некоторых ключевых членах Black Basta, включая Lapa (один из администраторов), Cortes (связан с группой Qakbot), YY (главный администратор Black Basta) и Trump (он же GG и AA), который якобы является главой группировки.
Напомним, что Black Basta активна с апреля 2022 года и работает по схеме Ransomware-as-a-Service («Вымогатель-как-услуга», RaaS). За это время операторы малвари атаковали множество известных организаций, включая немецкого оборонного подрядчика , европейское подразделение , компанию , , Публичную библиотеку Торонто, Американскую ассоциацию стоматологов, Sobeys, Yellow Pages Canada и так далее.
ИБ-специалисты полагают, что Black Basta является ребрендингом известной хак-группы Conti: на это указывают сходства используемых техник хакеров и стилей ведения переговоров.
По Агентства по кибербезопасности и защите инфраструктуры США (CISA) и ФБР, в период с апреля 2022 года по май 2024 года операторы Black Basta успешно атаковали более 500 организаций.
