تم نشر أكثر من عام من سجلات المحادثات الداخلية لعصابة برامج الفدية المعروفة باسم Black Basta على الإنترنت، مما يوفر رؤية غير مسبوقة لتكتيكاتها والصراعات الداخلية بين أعضائها.
تم تسريب المحادثات المكتوبة باللغة الروسية على منصة المراسلة Matrix بين 18 سبتمبر 2023 و28 سبتمبر 2024، بواسطة شخص يستخدم الاسم المستعار ExploitWhispers، والذي ادعى أن سبب التسريب هو استهداف العصابة للبنوك الروسية. ولا يزال هوية المُسرب مجهولة.
برزت Black Basta لأول مرة في أبريل 2022، باستخدام برنامج QakBot (المعروف أيضًا باسم QBot) كوسيلة لنشر الهجمات. وفقًا لتحذير صادر عن الحكومة الأمريكية في مايو 2024، يُعتقد أن العصابة استهدفت أكثر من 500 كيان في الصناعات الخاصة والبنية التحتية الحيوية في أمريكا الشمالية وأوروبا وأستراليا.
وبحسب شركتي Elliptic وCorvus Insurance، يُقدر أن العصابة جنَت ما لا يقل عن 107 مليون دولار من مدفوعات الفدية بعملة البيتكوين من أكثر من 90 ضحية بحلول نهاية عام 2023.
وأشارت شركة الأمن السيبراني السويسرية PRODAFT إلى أن العصابة، التي تُعرف أيضًا باسم Vengeful Mantis، كانت “غير نشطة إلى حد كبير منذ بداية العام” بسبب الصراعات الداخلية، حيث قام بعض أعضائها باحتيال الضحايا عن طريق جمع مدفوعات الفدية دون توفير أداة فك التشفير.
الصراعات الداخلية وانشقاق الأعضاء
يُقال إن أعضاء رئيسيين في العصابة المرتبطة بروسيا انتقلوا إلى عمليات برامج الفدية الأخرى مثل CACTUS (المعروف أيضًا باسم Nurturing Mantis) وAkira.
وقالت PRODAFT في منشور على X: “كان الصراع الداخلي مدفوعًا بـ’Tramp’ (LARVA-18)، وهو شخصية معروفة في مجال التهديدات الإلكترونية يدير شبكة بريد عشوائي مسؤولة عن توزيع QBot. كشخصية رئيسية في BLACKBASTA، لعب دورًا كبيرًا في عدم استقرار المجموعة.”
أبرز النقاط في التسريب
يحتوي التسريب على ما يقرب من 200,000 رسالة، ومن أبرز النقاط التي تم الكشف عنها:
- Lapa: أحد المسؤولين الرئيسيين في Black Basta، ويشارك في المهام الإدارية.
- Cortes: مرتبط بمجموعة QakBot، التي سعت إلى الابتعاد عن Black Basta بعد هجماتها على البنوك الروسية.
- YY: مسؤول آخر في Black Basta، ويشارك في مهام الدعم.
- Trump: أحد الأسماء المستعارة لـ”الزعيم الرئيسي للمجموعة” Oleg Nefedov، الذي يستخدم أيضًا الأسماء GG وAA.
- Trump وBio: عملا معًا في مخطط برنامج الفدية Conti الذي تم تفكيكه.
- أحد أعضاء Black Basta يُعتقد أنه قاصر يبلغ من العمر 17 عامًا.
- بدأت Black Basta في استخدام الهندسة الاجتماعية بشكل فعال في هجماتها بعد نجاح مجموعة Scattered Spider.
تكتيكات الهجوم
وفقًا لشركة Qualys، تستغل مجموعة Black Basta الثغرات الأمنية المعروفة وسوء التكوين وضعف ضوابط الأمان للحصول على الوصول الأولي إلى الشبكات المستهدفة. تشير المناقشات المسربة إلى أن المجموعة تستغل بشكل روتيني سوء تكوين SMB، وخوادم RDP المكشوفة، وآليات المصادقة الضعيفة، مع الاعتماد على بيانات اعتماد VPN الافتراضية أو اختراق بيانات الاعتماد المسروقة.
نواقل الهجوم الرئيسية
تشمل نواقل الهجوم الأخرى استخدام برامج إسقاط البرامج الضارة (Malware Droppers) لتسليم الحمولات الخبيثة. ولتجنب الكشف، تستخدم المجموعة منصات مشاركة ملفات شرعية مثل transfer.sh وtemp.sh وsend.vis.ee لاستضافة الحمولات.
قال ، مدير منتج في وحدة أبحاث التهديدات بشركة Qualys: “لم تعد مجموعات برامج الفدية تأخذ وقتها بمجرد اختراق شبكة المنظمة. تُظهر البيانات المسربة من Black Basta أنها تنتقل من الوصول الأولي إلى اختراق الشبكة بالكامل في غضون ساعات – وأحيانًا دقائق.”
تطورات أخرى في عالم برامج الفدية
جاء هذا الكشف بالتزامن مع إعلان فريق Cyberint Research Team التابع لشركة Check Point عن استئناف مجموعة Cl0p لاستهداف المنظمات، حيث قامت بإدراج المنظمات التي تم اختراقها على موقع تسريب البيانات الخاص بها بعد استغلال ثغرة أمنية حديثة (CVE-2024-50623) في برنامج Cleo لإدارة نقل الملفات.
تحذيرات من وكالة الأمن السيبراني الأمريكية (CISA)
أصدرت وكالة الأمن السيبراني الأمريكية (CISA) تحذيرًا عن موجة من هجمات تسريب البيانات وبرامج الفدية التي تنفذها مجموعة Ghost، والتي تستهدف منظمات في أكثر من 70 دولة، بما في ذلك الصين.
تُعرف المجموعة باستخدامها لأكواد متاحة علنًا لاستغلال الأنظمة المعرضة للإنترنت، مع الاعتماد على ثغرات في Adobe ColdFusion وFortinet FortiOS وMicrosoft Exchange Server.
