ผู้ปล่อยข้อมูลที่ไม่ระบุชื่อได้เผยแพร่ข้อมูลที่พวกเขาอ้างว่าเป็นไฟล์บันทึกการสนทนาภายในของกลุ่มแรนซัมแวร์ Black Basta บนแพลตฟอร์ม Matrix

ExploitWhispers ซึ่งเป็นบุคคลที่เคยอัปโหลดข้อความการสนทนานี้ไปยังแพลตฟอร์มแชร์ไฟล์ MEGA (ซึ่งปัจจุบันถูกลบไปแล้ว) ได้อัปโหลดไฟล์ดังกล่าวไปยังช่อง Telegram ที่จัดทำขึ้นโดยเฉพาะ

ยังไม่ชัดเจนว่า ExploitWhispers เป็นนักวิจัยด้านความปลอดภัยที่สามารถเข้าถึงเซิร์ฟเวอร์แชทภายในของกลุ่มนี้ หรือเป็นสมาชิกที่ไม่พอใจ และตัดสินใจเปิดเผยข้อมูล

แม้ว่าพวกเขาจะไม่ได้เปิดเผยเหตุผลเบื้องหลังการกระทำนี้ แต่บริษัทผู้เชี่ยวชาญด้านภัยคุกคามทางไซเบอร์ PRODAFT ระบุว่า การรั่วไหลของข้อมูลอาจเกิดขึ้นจากการที่กลุ่มแรนซัมแวร์ดังกล่าวโจมตีธนาคารในรัสเซีย

PRODAFT ระบุว่า "จากการติดตามของเราอย่างต่อเนื่องพบว่า BLACKBASTA (Vengeful Mantis) ไม่ค่อยมีความเคลื่อนไหวมาตั้งแต่ต้นปีเนื่องจากความขัดแย้งภายใน สมาชิกบางรายของกลุ่มได้โกงเหยื่อโดยรับเงินค่าไถ่แต่ไม่ให้เครื่องมือถอดรหัสที่ใช้งานได้"

"เมื่อวันที่ 11 กุมภาพันธ์ 2025 มีการรั่วไหลครั้งใหญ่ของบันทึกแชทภายใน Matrix ของ BLACKBASTA โดยผู้ที่ปล่อยข้อมูลอ้างว่าทำเช่นนี้เพราะกลุ่มกำลังโจมตีธนาคารรัสเซีย การรั่วไหลนี้คล้ายคลึงกับกรณีของ Conti ก่อนหน้านี้"

ไฟล์ที่รั่วไหลประกอบด้วยข้อความที่ถูกสนทนาในห้องแชทภายในของ Black Basta ระหว่างวันที่ 18 กันยายน 2023 ถึง 28 กันยายน 2024

BleepingComputer ได้ทำการวิเคราะห์ข้อความ พบว่ามีข้อมูลที่หลากหลาย รวมถึงเทมเพลตฟิชชิ่ง และรายชื่ออีเมลที่เป็นเป้าหมาย, ที่อยู่สกุลเงินดิจิตัล, ข้อมูลที่ถูกขโมย, ข้อมูล Credential ของเหยื่อ และการยืนยันกลยุทธ์ที่เคยมีรายงานมาก่อนหน้านี้

บทสนทนาที่รั่วไหลยังมีลิงก์ ZoomInfo จำนวน 367 ลิงก์ ซึ่งระบุถึงจำนวนบริษัทที่อาจตกเป็นเป้าหมายในช่วงเวลาดังกล่าว กลุ่มแรนซัมแวร์มักใช้เว็บไซต์ ZoomInfo เพื่อแบ่งปันข้อมูลเกี่ยวกับบริษัทเป้าหมาย ทั้งภายในกลุ่ม หรือกับเหยื่อระหว่างการเจรจา

ExploitWhispers ยังเปิดเผยข้อมูลเกี่ยวกับสมาชิกบางคนของกลุ่มแรนซัมแวร์ Black Basta รวมถึง Lapa (หนึ่งในผู้ดูแลระบบของกลุ่ม), Cortes (ผู้ที่เชื่อมโยงกับกลุ่ม Qakbot), YY (ผู้ดูแลระบบหลักของ Black Basta) และ Trump (หรือที่รู้จักในชื่อ GG และ AA) ซึ่งเชื่อว่าเป็น Oleg Nefedovaka หัวหน้าของกลุ่ม

Black Basta คือใคร?

Black Basta เป็นกลุ่มแรนซัมแวร์ในรูปแบบ Ransomware-as-a-Service (RaaS) ที่ปรากฏตัวครั้งแรกในเดือนเมษายน 2022 และได้โจมตีองค์กรสำคัญทั่วโลก รวมถึงบริษัทด้านการดูแลสุขภาพ และผู้รับเหมาภาครัฐ

เหยื่อบางรายของพวกเขา ประกอบด้วยบริษัทผู้รับเหมาด้านกลาโหมของเยอรมนี Rheinmetall, ฝ่ายยุโรปของ Hyundai, BT Group (เดิมคือ British Telecom), บริษัทด้านสุขภาพขนาดใหญ่ของสหรัฐฯ Ascension, ผู้รับเหมาภาครัฐ ABB, สมาคมทันตกรรมอเมริกัน, บริษัทเอาต์ซอร์สเทคโนโลยีของสหราชอาณาจักร Capita, ห้องสมุดสาธารณะโตรอนโต และ Yellow Pages Canada

ตามรายงานร่วมของ CISA และ FBI ที่เผยแพร่เมื่อเดือนพฤษภาคมที่ผ่านมา Black Basta และพันธมิตรได้เจาะระบบขององค์กรมากกว่า 500 แห่งระหว่างเดือนเมษายน 2022 ถึงพฤษภาคม 2024

จากการวิจัยร่วมกันระหว่าง Corvus Insurance และ Elliptic พบว่ากลุ่มแรนซัมแวร์นี้ได้รับเงินค่าไถ่รวมประมาณ 100 ล้านดอลลาร์จากเหยื่อกว่า 90 รายจนถึงเดือนพฤศจิกายน 2023

ในเดือนกุมภาพันธ์ 2022 นักวิจัยด้านความปลอดภัยชาวยูเครนได้เปิดเผยบทสนทนาภายในกว่า 170,000 รายการ และซอร์สโค้ดของตัวเข้ารหัสแรนซัมแวร์ Conti ทางออนไลน์ หลังจากกลุ่มอาชญากรรมไซเบอร์ Conti ซึ่งมีฐานในรัสเซียแสดงจุดยืนสนับสนุนรัสเซียหลังการรุกรานยูเครน

ที่มา : Bleepingcomputer

 

กลุ่ม Black Basta ransomware จากรัสเซีย กวาดรายได้จากการเรียกค่าไถ่ไปแล้วอย่างน้อย 100 ล้านดอลลาร์ จากเหยื่อมากกว่า 90 รายที่ยอมจ่ายค่าไถ่ นับตั้งแต่เปิดตัวครั้งแรกในเดือนเมษายน 2022 (more…)

บริษัทผลิตวัสดุก่อสร้างขนาดใหญ่ 'Knauf' ถูกโจมตีจาก Black Basta Ransomware

Knauf Group บริษัทผู้ผลิตวัสดุก่อสร้างขนาดใหญ่ในเยอรมนี ได้ประกาศว่าถูกโจมตีด้วย Ransomware ส่งผลให้บริษัทที่มีสาขากว่า 150 แห่งทั่วโลกต้องปิดระบบทั้งหมดเพื่อควบคุมเหตุการณ์ที่เกิดขึ้น

รายละเอียดเหตุการณ์

การโจมตีเกิดขึ้นในคืนวันที่ 29 มิถุนายนที่ผ่านมาโดยกลุ่มแฮกเกอร์ที่มีชื่อว่า Black Basta จากนั้นได้มีการเผยแพร่ข้อมูลออกมาประมาณ 20% เมื่อวันที่ 16 กรกฎาคม โดยมีผู้เข้าถึงข้อมูลดังกล่าวแล้วกว่า 350 คน ซึ่งข้อมูลดังกล่าวประกอบไปด้วย ข้อมูลอีเมล, ข้อมูล credentials ของผู้ใช้งาน, ข้อมูลติดต่อของพนักงาน เอกสารการผลิต และ ID scans

อย่างไรก็ตามไฟล์ที่ถูกเผยแพร่ออกมาไม่ใช่ข้อมูลทั้งหมด จึงเป็นไปได้ที่ Knauf อาจมีการยอมชำระค่าไถ่ นอกจากนี้ Knauf ไม่ได้ประกาศว่าตนถูกโจมตีโดย Ransomware ชนิดใด และช่องทางไหน บอกเพียงกำลังทำงานอย่างหนักเพื่อลดผลกระทบต่อลูกค้า และพันธมิตรทางธุรกิจ พร้อมกับกำลังกู้คืนไฟล์ และขออภัยในความไม่สะดวกหรือความล่าช้าในกระบวนการจัดส่งที่อาจเกิดขึ้น

ข้อมูลเพิ่มเติม

กลุ่ม Black Basta ได้เริ่มปฏิบัติการ Ransomware as a services (RaaS) ในเดือนเมษายน 2022 และได้ขึ้นมามีชื่อเสียงอย่างรวดเร็วเนื่องจากการโจมตีเป้าหมายที่มีชื่อเสียงได้สำเร็จ

จากการวิเคราะห์ของผู้เชี่ยวชาญ ความสามารถของกลุ่มแฮ็กเกอร์กลุ่มนี้ และการเจรจาเรียกค่าไถ่ พบว่ามีความคล้ายคลึงกับกลุ่ม Conti Ransomware ในก่อนหน้านี้มาก โดยในเดือนมิถุนายน Black Basta ได้ร่วมมือกับกลุ่มแฮ็กเกอร์กลุ่มอื่นในการจัดส่งเพย์โหลดการโจมตีผ่านทาง Qbot (QuakBot) ซึ่งยังถูกใช้เป็นช่องทางในการติดตั้ง Cobalt Strike เพื่อโจมตีไปยังระบบอื่นๆของเหยื่อได้อีกด้วย

ที่มา : www.