بیش از 200,000 هزار پیام خصوصی مدیران یک گروه سایبری بزرگ هک شد؛ وقتی دزد به دزد می‌زند!

گروه باج‌افزاری «بلک باستا» که به عنوان یکی از تهدیدات جدی امنیت سایبری شناخته می‌شود، در یک افشای بی‌سابقه، جزئیات داخلی عملیات خود را در معرض دید عموم قرار داده است. این افشاگری که شامل بیش از 200,000 پیام خصوصی میان اعضای گروه در یک سال اخیر است، نشان‌دهنده اطلاعات حساس و استراتژی‌های مخفیانه‌ای است که این گروه در عملیات خود به کار گرفته است.

منبع افشاگری و جزئیات اطلاعات

منبع افشاگری همچنان ناشناخته باقی‌مانده، اما این اطلاعات به طور غیرمستقیم توسط یک کاربر به نام «ExploitWhispers» در پلتفرم MEGA و سپس تلگرام منتشر شد. این فرد ادعا کرده است که اقدام به انتشار این اطلاعات به عنوان تلافی از حملات بلک باستا به بانک‌های روسی انجام شده است. هنوز مشخص نیست که آیا افشاگر یک عضو داخلی گروه بوده یا فردی خارجی که به این اطلاعات دسترسی یافته است.

یکی از نکات قابل توجه در این افشاگری، آشکار شدن تنش‌های داخلی در میان اعضای گروه است. به ویژه پس از دستگیری یکی از رهبران این گروه، نگرانی‌ها در میان اعضا در مورد احتمال شناسایی و دستگیری آنها توسط مقامات قانونی افزایش یافته است. رهبر فعلی گروه که گفته می‌شود اولگ نفیدوف (Oleg Nefedov) است، تحت انتقاد شدید از سوی زیرمجموعه‌های خود قرار گرفته، به ویژه به دلیل تصمیماتی که گروه را در معرض خطر بیشتری قرار داده است، از جمله هدف قرار دادن یک بانک روسی.

روش‌های حمله و ابزارهای مورد استفاده توسط بلک باستا

تحقیقات نشان داده است که گروه  بلک باستا حملات خود را به طور معمول از طریق ایمیل‌های فیشینگ با لینک‌های مخرب آغاز می‌کند. این ایمیل‌ها معمولاً حاوی فایل‌های فشرده رمزگذاری‌شده هستند که در صورت باز شدن، تروجان Qakbot را نصب کرده و در نهایت دسترسی پشتی به شبکه قربانی فراهم می‌آورد. پس از نفوذ به شبکه، این گروه از ابزارهایی مانند Cobalt Strike برای شناسایی و استقرار ابزارهای اضافی در سراسر شبکه‌های آسیب‌دیده استفاده می‌کند.

یکی از ویژگی‌های بارز حملات بلک باستا، استفاده از نرم‌افزارهای دسترسی از راه دور معتبر برای حفظ حضور خود در سیستم‌های آسیب‌دیده است، در حالی که نرم‌افزارهای ضدویروس و سیستم‌های شناسایی را غیرفعال می‌کنند. برای سرقت و استخراج داده‌ها، گروه از ابزارهایی مانند Mimikatz و Rclone استفاده می‌کند.

استراتژی باج‌گیری و هدف‌گذاری دقیق

در مرحله باج‌گیری، فایل‌های رمزگذاری‌شده توسط بلک باستا با پسوند «.basta» مشخص می‌شوند. جالب توجه است که این گروه فوراً درخواست باج خود را مطرح نمی‌کند، بلکه به قربانیان فرصتی 10 تا 12 روزه برای برقراری تماس می‌دهد، در غیر این صورت داده‌های دزدیده‌شده را منتشر خواهد کرد. این گروه از تکنیک‌های مهندسی اجتماعی نیز استفاده می‌کند، از جمله تماس تلفنی با کارکنان شرکت‌ها برای برقراری ارتباط اولیه، روشی مشابه به روش‌های دیگر گروه‌های سایبری مانند Scattered Spider.

یکی دیگر از نکات قابل توجه در این افشاگری، روش‌های انتخاب هدف دقیق این گروه است. بلک باستا برای انتخاب اهداف خود از پلتفرم‌های اطلاعات کسب و کار مانند ZoomInfo استفاده می‌کند و این نشان‌دهنده یک رویکرد محاسبه‌شده در عملیات آنها است.

در همین رابطه بخوانید:

– راهکارهای افزایش امنیت اطلاعات کامپیوتر + اشتباهات رایج

– آینده‌ای که برایش آماده نیستیم: هکرهای هوش مصنوعی

– نفوذ هکرهای چینی به وزارت خزانه‌داری آمریکا؛ بیش از 400 سیستم هک شد

تحلیل‌های جدید با استفاده از «BlackBastaGPT»

با استفاده از این حجم عظیم اطلاعات افشا شده، شرکت امنیتی Hudson Rock تصمیم به تغذیه این پیام‌ها به ابزار هوش مصنوعی ChatGPT گرفته است. نتیجه این کار، ایجاد یک منبع جدید به نام BlackBastaGPT است که به محققان کمک می‌کند تا عملیات گروه بلک باستا را به طور مؤثرتری تحلیل کنند و اطلاعات جدیدتری در مورد این گروه و روش‌های فعالیت آن به دست آورند.

این افشاگری نه تنها اطلاعاتی تازه از شیوه‌های عملیات بلک باستا به دست می‌دهد، بلکه همچنین نشان می‌دهد که چطور گروه‌های باج‌افزاری در دنیای سایبری به طور فزاینده‌ای پیچیده و خطرناک می‌شوند. این افشاگری می‌تواند به عنوان یک منبع مهم برای مقابله با تهدیدات سایبری آینده و درک بهتر از ساختار و روش‌های گروه‌های مشابه مورد استفاده قرار گیرد.