ผู้ปล่อยข้อมูลที่ไม่ระบุชื่อได้เผยแพร่ข้อมูลที่พวกเขาอ้างว่าเป็นไฟล์บันทึกการสนทนาภายในของกลุ่มแรนซัมแวร์ Black Basta บนแพลตฟอร์ม Matrix

ExploitWhispers ซึ่งเป็นบุคคลที่เคยอัปโหลดข้อความการสนทนานี้ไปยังแพลตฟอร์มแชร์ไฟล์ MEGA (ซึ่งปัจจุบันถูกลบไปแล้ว) ได้อัปโหลดไฟล์ดังกล่าวไปยังช่อง Telegram ที่จัดทำขึ้นโดยเฉพาะ

ยังไม่ชัดเจนว่า ExploitWhispers เป็นนักวิจัยด้านความปลอดภัยที่สามารถเข้าถึงเซิร์ฟเวอร์แชทภายในของกลุ่มนี้ หรือเป็นสมาชิกที่ไม่พอใจ และตัดสินใจเปิดเผยข้อมูล

แม้ว่าพวกเขาจะไม่ได้เปิดเผยเหตุผลเบื้องหลังการกระทำนี้ แต่บริษัทผู้เชี่ยวชาญด้านภัยคุกคามทางไซเบอร์ PRODAFT ระบุว่า การรั่วไหลของข้อมูลอาจเกิดขึ้นจากการที่กลุ่มแรนซัมแวร์ดังกล่าวโจมตีธนาคารในรัสเซีย

PRODAFT ระบุว่า "จากการติดตามของเราอย่างต่อเนื่องพบว่า BLACKBASTA (Vengeful Mantis) ไม่ค่อยมีความเคลื่อนไหวมาตั้งแต่ต้นปีเนื่องจากความขัดแย้งภายใน สมาชิกบางรายของกลุ่มได้โกงเหยื่อโดยรับเงินค่าไถ่แต่ไม่ให้เครื่องมือถอดรหัสที่ใช้งานได้"

"เมื่อวันที่ 11 กุมภาพันธ์ 2025 มีการรั่วไหลครั้งใหญ่ของบันทึกแชทภายใน Matrix ของ BLACKBASTA โดยผู้ที่ปล่อยข้อมูลอ้างว่าทำเช่นนี้เพราะกลุ่มกำลังโจมตีธนาคารรัสเซีย การรั่วไหลนี้คล้ายคลึงกับกรณีของ Conti ก่อนหน้านี้"

ไฟล์ที่รั่วไหลประกอบด้วยข้อความที่ถูกสนทนาในห้องแชทภายในของ Black Basta ระหว่างวันที่ 18 กันยายน 2023 ถึง 28 กันยายน 2024

BleepingComputer ได้ทำการวิเคราะห์ข้อความ พบว่ามีข้อมูลที่หลากหลาย รวมถึงเทมเพลตฟิชชิ่ง และรายชื่ออีเมลที่เป็นเป้าหมาย, ที่อยู่สกุลเงินดิจิตัล, ข้อมูลที่ถูกขโมย, ข้อมูล Credential ของเหยื่อ และการยืนยันกลยุทธ์ที่เคยมีรายงานมาก่อนหน้านี้

บทสนทนาที่รั่วไหลยังมีลิงก์ ZoomInfo จำนวน 367 ลิงก์ ซึ่งระบุถึงจำนวนบริษัทที่อาจตกเป็นเป้าหมายในช่วงเวลาดังกล่าว กลุ่มแรนซัมแวร์มักใช้เว็บไซต์ ZoomInfo เพื่อแบ่งปันข้อมูลเกี่ยวกับบริษัทเป้าหมาย ทั้งภายในกลุ่ม หรือกับเหยื่อระหว่างการเจรจา

ExploitWhispers ยังเปิดเผยข้อมูลเกี่ยวกับสมาชิกบางคนของกลุ่มแรนซัมแวร์ Black Basta รวมถึง Lapa (หนึ่งในผู้ดูแลระบบของกลุ่ม), Cortes (ผู้ที่เชื่อมโยงกับกลุ่ม Qakbot), YY (ผู้ดูแลระบบหลักของ Black Basta) และ Trump (หรือที่รู้จักในชื่อ GG และ AA) ซึ่งเชื่อว่าเป็น Oleg Nefedovaka หัวหน้าของกลุ่ม

Black Basta คือใคร?

Black Basta เป็นกลุ่มแรนซัมแวร์ในรูปแบบ Ransomware-as-a-Service (RaaS) ที่ปรากฏตัวครั้งแรกในเดือนเมษายน 2022 และได้โจมตีองค์กรสำคัญทั่วโลก รวมถึงบริษัทด้านการดูแลสุขภาพ และผู้รับเหมาภาครัฐ

เหยื่อบางรายของพวกเขา ประกอบด้วยบริษัทผู้รับเหมาด้านกลาโหมของเยอรมนี Rheinmetall, ฝ่ายยุโรปของ Hyundai, BT Group (เดิมคือ British Telecom), บริษัทด้านสุขภาพขนาดใหญ่ของสหรัฐฯ Ascension, ผู้รับเหมาภาครัฐ ABB, สมาคมทันตกรรมอเมริกัน, บริษัทเอาต์ซอร์สเทคโนโลยีของสหราชอาณาจักร Capita, ห้องสมุดสาธารณะโตรอนโต และ Yellow Pages Canada

ตามรายงานร่วมของ CISA และ FBI ที่เผยแพร่เมื่อเดือนพฤษภาคมที่ผ่านมา Black Basta และพันธมิตรได้เจาะระบบขององค์กรมากกว่า 500 แห่งระหว่างเดือนเมษายน 2022 ถึงพฤษภาคม 2024

จากการวิจัยร่วมกันระหว่าง Corvus Insurance และ Elliptic พบว่ากลุ่มแรนซัมแวร์นี้ได้รับเงินค่าไถ่รวมประมาณ 100 ล้านดอลลาร์จากเหยื่อกว่า 90 รายจนถึงเดือนพฤศจิกายน 2023

ในเดือนกุมภาพันธ์ 2022 นักวิจัยด้านความปลอดภัยชาวยูเครนได้เปิดเผยบทสนทนาภายในกว่า 170,000 รายการ และซอร์สโค้ดของตัวเข้ารหัสแรนซัมแวร์ Conti ทางออนไลน์ หลังจากกลุ่มอาชญากรรมไซเบอร์ Conti ซึ่งมีฐานในรัสเซียแสดงจุดยืนสนับสนุนรัสเซียหลังการรุกรานยูเครน

ที่มา : Bleepingcomputer

 

กลุ่ม Black Basta ransomware จากรัสเซีย กวาดรายได้จากการเรียกค่าไถ่ไปแล้วอย่างน้อย 100 ล้านดอลลาร์ จากเหยื่อมากกว่า 90 รายที่ยอมจ่ายค่าไถ่ นับตั้งแต่เปิดตัวครั้งแรกในเดือนเมษายน 2022 (more…)

 

 

 

 

 

 

 

 

แฮ็กเกอร์ผู้พัฒนา REvil ransomware-as-a-service (RaaS) กลับมามีปฏิบัติการอีกครั้งหลังจากหายไปถึง 2 เดือน จากครั้งล่าสุดที่มีการโจมตีผู้ให้บริการทางด้านเทคโนโลยีรายใหญ่อย่างบริษัท Kaseya เมื่อวันที่ 4 กรกฎาคมที่ผ่านมา

Portals ของ Dark Web สองแห่ง รวมถึง "Happy Blog" เว็ปไซต์ที่ใช้สำหรับแจ้งข้อมูลที่รั่วไหลออกมา เว็ปไซต์การชำระเงิน และเจรจาค่าไถ่ได้กลับมาออนไลน์อีกครั้ง โดยมีข้อมูลผู้เคราะห์ร้ายรายล่าสุดเมื่อวันที่ 8 กรกฎาคม ซึ่งเป็น 5 วันก่อนที่ไซต์ดังกล่าวจะปิดตัวลงอย่างลึกลับในวันที่ 13 กรกฎาคม และยังไม่แน่ชัดว่า REvil กลับมาในปฏิบัติการ หรือว่าจะเปิดตัวการโจมตีครั้งใหม่

"โชคไม่ดีเลยที่ Happy Blog กลับมาออนไลน์แล้ว" นักวิจัยด้านภัยคุกคามของ Emsisoft นาม Erett Callow ทวีตไว้เมื่อวันอังคารที่ผ่านมา

ความเคลื่อนไหวล่าสุดเกิดขึ้นในช่วง 2 เดือนต่อมาหลังจากการโจมตีด้วย Ransomware ด้วยวิธีการ Supply Chain Attack โดยมุ่งเป้าไปที่ Kaseya ซึ่งเห็นกลุ่มผู้โจมตีเข้ารหัสผู้ให้บริการ (MSPs) ราว 60 ราย และธุรกิจที่เกี่ยวข้องอีกกว่า 1500 แห่งโดยใช้ช่องโหว่ zero-day ในซอฟต์แวร์การจัดการระยะไกล Kaseya VSA

ในปลายเดือนพฤษาคม REvil ยังเป็นผู้นำในการโจมตี JBS ผู้ผลิตเนื้อสัตว์รายใหญ่ที่สุดของโลกด้วย ทำให้บริษัทต้องจ่ายเงินค่าไถ่ 11 ล้านดอลลาร์ให้กับผู้โจมตีเพื่อฟื้นฟูความเสียหายจากเหตุการณ์ดังกล่าว

หลังเหตุการณ์การถูกโจมตี มีการตรวจสอบ และกดดันอย่างหนักจากหลายๆหน่วยงานทั่วโลกเพื่อจัดการกับวิกฤต ramsomware กลุ่มแฮ็กเกอร์ได้ปิดตัว Dark Web ลง ซึ่งคาดว่าอาจจะหยุดดำเนินการชั่วคราวโดยมีเป้าหมายเพื่อรีแบรนด์ภายใต้ตัวตนใหม่เพื่อทำให้เป็นที่สนใจน้อยลง

REvil หรือที่รู้จักกันในนาม Sodinokibi กลายเป็น ransomware สายพันธุ์ที่พบการรายงานบ่อยที่สุดอันดับ 5 ในไตรมาสที่ 1 ปี 2564 ซึ่งคิดเป็น 4.60% ของการโจมตีทั้งหมดในไตรมาสนี้ ตามสถิติที่รวบรวมโดย Emsisoft

ทีมา : thehackernews.

นักวิจัยด้านความปลอดภัย "3xp0rt" ได้เปิดเผยถึงพฤติกรรมของกลุ่ม REvil ransomware ซึ่งได้ประกาศถึงการนำกลยุทธ์ใหม่ที่ใช้บริษัทภายในเครือของผู้ที่ติดแรนซัมแวร์เพื่อกดดันผู้ที่ตกเป็นเหยื่อโดยใช้การโจมตี DDoS และการโทรไปยังนักข่าวและพันธมิตรทางธุรกิจของเหยื่อเพื่อให้ข้อมูลเกี่ยวกับการโจมตีที่เกิดขึ้น เพื่อกดดันให้เหยื่อยอมจ่ายเงิน

กลุ่ม REvil ransomware หรือที่เรียกว่า Sodinokibi เป็นกลุ่มผู้ให้บริการแรนซัมแวร์หรือ Ransomware-as-a-service (RaaS) ซึ่งภายในกลุ่มจะมีบริษัทที่รับให้บริการบุกรุกเครือข่ายขององค์กรที่ตกเป็นเป้าหมายและทำการติดตั้งแรนซัมแวร์ลงไปภายในเครือข่ายเพื่อทำการเรียกค่าไถ่ผู้ที่ตกเป็นเหยื่อ

กลุ่ม REvil ransomware ได้มีการประกาศในเว็บบอร์ดใต้ดินเพื่อหาผู้ที่สามารถทำการโจมตีแบบ DDoS ได้เพื่อเข้าร่วมทีมขู่กรรโชก รวมไปถึงผู้ที่จะทำหน้าที่ติดต่อ เปิดเผยและข่มขู่หากบริษัทซึ่งโดนแรนซัมแวร์ไม่ยอมออกมายอมรับและจ่ายค่าไถ่

นอกจากการโทรเพื่อกดดันเหยื่อแล้ว REvil ยังให้ทำการโจมตี DDoS ไปยัง Layer 3 และ Layer 7 ของบริษัทที่ตกเป็นเหยื่อเพื่อสร้างแรงกดดัน โดยทั่วไปการโจมตี DDoS Layer 3 มักใช้เพื่อจำกัดการเชื่อมต่ออินเทอร์เน็ตของบริษัทที่ตกเป็นเหยื่อ แต่ในทางตรงกันข้ามกลุ่มแรนซัมแวร์จะใช้การโจมตี DDoS แบบ Layer 7 เพื่อทำให้แอปพลิเคชันของเหยื่อที่สามารถเข้าถึงได้จากสาธารณะเช่นเว็บเซิร์ฟเวอร์หยุดให้บริการ

ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการใช้งานอีเมลหรือการใช้งานการเข้าเยื่ยมชมเว็บไซต์ที่ไม่รู้จักและไม่ควรทำการดาวน์โหลดไฟล์ใด ๆ จากอีเมล์หรือเว็บไซต์ที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของแรนซัมแวร์

ที่มา: bleepingcomputer