كشفت مجموعة حديثة من المحادثات الداخلية المسربة بين أعضاء مجموعة بلاك باستا (Black Basta) المتخصصة في هجمات الفدية عن احتمال وجود صلات بين هذه العصابة الإجرامية الإلكترونية والسلطات الروسية.
تم نشر التسريب، الذي يتضمن أكثر من 200,000 رسالة تعود للفترة بين سبتمبر 2023 وسبتمبر 2024، من قبل مستخدم على تيليغرام يحمل اسم @ExploitWhispers الشهر الماضي.
تورط مسؤولين روس في تهريب زعيم بلاك باستا
وفقًا لتحليل أجرته شركة الأمن السيبراني Trellix، فإن زعيم بلاك باستا المزعوم أوليغ نيفيدوف (المعروف أيضًا باسم GG أو AA) قد يكون قد حصل على مساعدة من مسؤولين روس بعد اعتقاله في يريفان، أرمينيا في يونيو 2024، مما سمح له بالهروب بعد ثلاثة أيام فقط.
وأظهرت المحادثات أن GG تواصل مع مسؤولين رفيعي المستوى لتمكينه من المرور عبر “ممر أخضر” وتسهيل عملية استخراجه من أرمينيا.
أبرز ما كشفت عنه التسريبات
بالإضافة إلى العلاقة المحتملة مع السلطات الروسية، كشفت الرسائل المسربة عن معلومات أخرى مثيرة للاهتمام، من بينها:
- تمتلك المجموعة مكتبين محتملين في موسكو.
- يستخدم أعضاء العصابة الذكاء الاصطناعي، وتحديدًا ChatGPT من OpenAI، لصياغة رسائل احتيالية رسمية باللغة الإنجليزية، وإعادة كتابة نصوص برمجية، وتحويل البرامج الضارة المكتوبة بلغة C# إلى Python، وتصحيح الأخطاء البرمجية، وجمع بيانات الضحايا.
- يوجد تداخل بين بعض أعضاء بلاك باستا وعصابات فدية أخرى مثل Rhysida وCACTUS.
- مطور برنامج PikaBot هو شخص أوكراني يُعرف بالاسم المستعار mecor (المعروف أيضًا باسم n3auxaxl)، وقد استغرق تطوير أداة التحميل الخاصة بالبرمجيات الخبيثة عامًا بعد تعطيل QakBot.
- استأجرت المجموعة أداة DarkGate من مستخدم يدعى Rastafareye، واستخدمت Lumma Stealer لسرقة بيانات الاعتماد ونشر برمجيات ضارة إضافية.
- قامت المجموعة بتطوير إطار عمل اختراق وتحكم عن بعد يُدعى Breaker، يساعد على تحقيق الاستمرارية، وتجاوز عمليات الكشف، والحفاظ على الوصول إلى الأنظمة المستهدفة.
- عمل GG مع mecor على تطوير برنامج فدية جديد مستوحى من كود المصدر لعصابة Conti، مما يشير إلى احتمال تغيير العلامة التجارية لبلاك باستا.
هجمات جديدة باستخدام إطار عمل BRUTED
في تطور آخر، كشفت شركة EclecticIQ أن بلاك باستا تعمل على تطوير إطار عمل جديد يُدعى BRUTED مصمم لتنفيذ هجمات تخمين كلمات المرور والاختراق عبر الإنترنت ضد أجهزة الشبكات مثل جدران الحماية وحلول VPN المستخدمة في الشبكات المؤسسية.
وأوضحت التقارير أن المجموعة تستخدم هذا الإطار منذ عام 2023 لتنفيذ هجمات ضخمة لتخمين كلمات المرور وسرقة بيانات تسجيل الدخول، مما يسمح لها باختراق الأنظمة المستهدفة بسهولة.
وقال الباحث الأمني أردا بويوككايا:
“إطار BRUTED يمكّن أعضاء بلاك باستا من أتمتة هذه الهجمات وتوسيع نطاقها، مما يزيد من عدد الضحايا ويسرّع عمليات الابتزاز وتحقيق الأرباح من هجمات الفدية.”
وأضاف:
“المحادثات الداخلية تكشف أن بلاك باستا استثمرت بشكل كبير في إطار BRUTED، مما يتيح لها تنفيذ عمليات مسح سريعة للإنترنت واستهداف أجهزة الشبكات ذات الحماية الضعيفة على نطاق واسع.”
تظهر هذه التسريبات مدى تعقيد عمليات بلاك باستا والصلات المحتملة التي قد تربطها بمسؤولين روس، إلى جانب استراتيجياتها المتطورة التي تعتمد على الذكاء الاصطناعي وهجمات الاختراق التلقائية. هذه المعلومات قد تجعل من الصعب على المجموعة إعادة تشكيل نفسها أو إطلاق عملية جديدة دون أن يتم ربطها بأنشطتها السابقة، مما يزيد من الضغط عليها ويضعها تحت أنظار أجهزة إنفاذ القانون حول العالم.
