Black Basta lao đao: Vụ rò rỉ dữ liệu gây chấn động cộng đồng an ninh mạng

Cộng đồng an ninh mạng vừa có được cái nhìn sâu sắc chưa từng có về hoạt động của một trong những băng nhóm ransomware hoạt động mạnh mẽ nhất thế giới. Khi các nhà nghiên cứu đào sâu vào kho thông tin khổng lồ này, nhiều tiết lộ mới về chiến thuật, mục tiêu và động lực nội bộ của Black Basta dự kiến sẽ được hé lộ.

Trong một vụ rò rỉ chưa từng có, hơn một năm liên lạc nội bộ của băng nhóm ransomware khét tiếng Black Basta đã bị rò rỉ trực tuyến, phơi bày hoạt động nội bộ, chiến lược và xung đột nội bộ của một trong những nhóm tội phạm mạng nguy hiểm và hoạt động mạnh mẽ nhất hiện nay.

Vụ rò rỉ bao gồm hơn 200.000 tin nhắn được các thành viên Black Basta trao đổi trên nền tảng trò chuyện Matrix từ tháng 9 năm 2023 đến tháng 9 năm 2024. Nguồn gốc của vụ rò rỉ vẫn chưa được xác định – nó được đăng bởi người dùng có tên “ExploitWhispers” trên MEGA và sau đó trên Telegram – nhưng người chịu trách nhiệm tuyên bố hành động này được thực hiện để trả đũa các cuộc tấn công của Black Basta vào các ngân hàng Nga. Hiện chưa rõ người rò rỉ là người trong nội bộ hay một tác nhân bên ngoài đã truy cập được vào các liên lạc bí mật này.

Black Basta: Mối đe dọa toàn cầu

Danh tiếng của Black Basta như một mối đe dọa đáng gờm đối với an ninh mạng toàn cầu đã được khẳng định. Vào năm 2023, FBI và Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ báo cáo rằng nhóm này đã nhắm mục tiêu vào 12 trong số 16 lĩnh vực cơ sở hạ tầng quan trọng ở Hoa Kỳ, với các cuộc tấn công vào 500 tổ chức trên toàn thế giới. Các nạn nhân nổi tiếng của họ bao gồm Ascension, một nhà cung cấp dịch vụ chăm sóc sức khỏe lớn của Hoa Kỳ, Hyundai Europe, công ty thuê ngoài Capita của Vương quốc Anh, Cơ quan Hải quan Chính phủ Chile và Southern Water, một công ty tiện ích của Vương quốc Anh.

Xung đột nội bộ và hé lộ thành viên chủ chốt

Các liên lạc bị rò rỉ tiết lộ những căng thẳng nội bộ đáng kể trong nhóm, đặc biệt là sau vụ bắt giữ một trong những thủ lĩnh của họ. Sự kiện này đã làm tăng thêm nỗi sợ hãi trong các thành viên về nguy cơ bị cơ quan thực thi pháp luật phát hiện. Thủ lĩnh hiện tại, được cho là Oleg Nefedov, đã bị cấp dưới chỉ trích vì những quyết định gây rủi ro lớn hơn cho nhóm, bao gồm cả việc nhắm mục tiêu vào một ngân hàng Nga.

Các nhà nghiên cứu phân tích văn bản tiếng Nga đã phát hiện ra thông tin chi tiết về các thành viên chủ chốt khác của Black Basta, bao gồm hai quản trị viên được gọi là Lapa và YY, và một tác nhân đe dọa tên là Cortes, người có liên hệ với nhóm ransomware Qakbot.

Chiến thuật tấn công và công cụ sử dụng

Các liên lạc bị rò rỉ cũng xác nhận những gì nhiều nhà nghiên cứu an ninh mạng đã phát hiện hoặc đưa ra giả thuyết về nhóm. Nhóm này thường khởi xướng các cuộc tấn công thông qua email lừa đảo chứa các liên kết độc hại, thường sử dụng các tệp zip được bảo vệ bằng mật khẩu, khi mở ra sẽ cài đặt trojan ngân hàng Qakbot. Trojan này thiết lập một cửa hậu và triển khai SystemBC để tạo kết nối được mã hóa đến máy chủ chỉ huy và kiểm soát.

Khi xâm nhập vào mạng, Black Basta sử dụng Cobalt Strike để trinh sát và triển khai các công cụ bổ sung trên mạng bị xâm nhập. Nhóm này cũng sử dụng phần mềm truy cập từ xa hợp pháp để duy trì sự hiện diện, đồng thời vô hiệu hóa hệ thống chống vi-rút và phát hiện điểm cuối. Để đánh cắp và trích xuất dữ liệu, họ dựa vào các công cụ như Mimikatz và Rclone.

Giai đoạn triển khai ransomware bao gồm mã hóa các tệp bằng phần mở rộng “.basta” như một phần của chiến lược tống tiền kép. Điều thú vị là Black Basta không đưa ra yêu cầu tiền chuộc ngay lập tức, mà thay vào đó cho nạn nhân một khoảng thời gian 10-12 ngày để liên lạc trước khi có khả năng rò rỉ dữ liệu bị đánh cắp. Nhóm này cũng đã áp dụng các kỹ thuật kỹ nghệ xã hội, bao gồm thực hiện cuộc gọi điện thoại để thiết lập liên lạc ban đầu với nhân viên công ty, tương tự như các phương pháp được sử dụng bởi các nhóm tội phạm mạng khác như Scattered Spider.

Lựa chọn mục tiêu có tính toán

Quá trình lựa chọn mục tiêu của Black Basta có phương pháp, duy trì một bảng tính các nạn nhân tiềm năng thay vì chọn mục tiêu ngẫu nhiên. Họ tận dụng các nền tảng thông tin kinh doanh như ZoomInfo để nghiên cứu và lựa chọn mục tiêu của mình, thể hiện một cách tiếp cận có tính toán đối với hoạt động của họ.

BlackBastaGPT: Công cụ hỗ trợ phân tích

Tận dụng kho thông tin quý giá này, công ty bảo mật Hudson Rock đã đưa bản ghi trò chuyện vào ChatGPT. Kết quả là BlackBastaGPT, một nguồn tài nguyên mới để hỗ trợ các nhà nghiên cứu phân tích hoạt động của Black Basta hiệu quả hơn.

Vụ rò rỉ này mang đến cơ hội vàng cho cộng đồng an ninh mạng để hiểu rõ hơn về hoạt động của Black Basta, từ đó phát triển các biện pháp phòng ngừa và đối phó hiệu quả hơn. Đây là một lời cảnh tỉnh mạnh mẽ về mối đe dọa ngày càng gia tăng từ các băng nhóm ransomware chuyên nghiệp, đòi hỏi sự hợp tác chặt chẽ giữa các tổ chức, chính phủ và chuyên gia an ninh mạng trên toàn cầu.