Переписка лидеров группировки-вымогателя оказалась в открытом доступе

Логи чата из группы ransomware Black Basta были разглашены на Telegram. Разоблачитель утверждает, что это ответ на атаки группы на российские банки. Данные содержат ценную информацию о том, как функционирует группа.

Информация об внутренней работе группы Black Basta была опубликована в интернете. Человек (или группа) под псевдонимом ExploitWhispers якобы извлек данные из Matrix — открытой и децентрализованной коммуникационной платформы, используемой для защищённых и реального времени сообщений. Matrix популярен среди кибербезопасности специалистов, защитников приватности, а также, увы, среди киберпреступников.

ExploitWhispers сначала загрузил архив на MEGA, но после удаления файла они создали отдельный канал в Telegram и разместили там информацию. Целью выступают внутренние банки: "Место для обсуждения наиболее важных новостей о Black Basta, одной из крупнейших групп специалистов по здоровью в России, которая недавно взломала внутренние банки", — написал разоблачитель на Telegram. "С такими делами можно сказать, что они перешли границу, поэтому мы посвящаем себя раскрытию правды и изучению следующих шагов Black Basta. Здесь вы найдёте информацию, которую можно доверять и прочитать все важное в одном канале."

Кто бы ни был ExploitWhispers, они были недовольны действиями группы Black Basta за последние времена. Это может быть разочарованный участник или исследователь безопасности. В любом случае, Black Basta якобы атаковала российские банки, что не устроило их.

Разглашение касается чатов с сентября 2023 года по сентябрь 2024 года и содержит ценную информацию о внутренней структуре группы. Один из администраторов называется Лапа (Lapa). Кортеc — угрожающий актор, связанный с группой Qakbot. YY является главным админом, а Трамп (Trump) — ключевой фигурой. Есть некоторые признаки того, что реальное имя Trump может быть Олег Нифедов.

Информация также демонстрирует шаблоны фишинга группы, электронные письма, адреса криптокошельков, данные отступников и учётные записи жертв. Анализируя данные, BleepingComputer сказал, что архив также содержит 367 уникальных ссылок ZoomInfo, которые могут указывать на количество компаний, подвергшихся атаке в этот период.

Также стоит отметить, что эти сведения были предоставлены сайтом BleepingComputer.