HackerNews 编译，转载请注明出处： 超过一年的 Black Basta 勒索软件团伙的内部聊天记录被泄露，提供了前所未有的视角，揭示了他们的策略和成员之间的内部冲突。 这些俄语聊天记录在 2023 年 9 月 18 日至 2024 年 9 月 28 日期间于 Matrix 消息平台进行，于 2025 年 2 月 11 日被一位名为 ExploitWhispers 的人士泄露，该人士声称泄露数据是因为该团伙针对俄罗斯银行。泄露者的身份仍然是个谜。 Black Basta 最初在 2022 年 4 月受到关注，当时他们使用现已基本停用的 QakBot（又名 QBot）作为传播工具。根据美国政府在 2024 年 5 月发布的一份公告，这个双重勒索团伙估计已针对北美、欧洲和澳大利亚的 500 多个私营行业和关键基础设施实体。 据 Elliptic 和 Corvus Insurance 估计，到 2023 年底，这个活跃的勒索软件团伙已从 90 多个受害者那里获得了至少 1.07 亿美元的比特币赎金。 瑞士网络安全公司 PRODAFT 表示，这个以经济利益为动机的威胁行为者（也被称为 Vengeful Mantis）由于内部纷争，自今年年初以来基本处于不活跃状态，其中一些运营商通过收取赎金但不提供有效的解密工具来诈骗受害者。 更糟糕的是，与俄罗斯有关联的网络犯罪集团的关键成员据说已经跳槽到 CACTUS（又名 Nurturing Mantis）和 Akira 勒索软件行动。 “内部冲突是由‘Tramp’（LARVA-18）驱动的，他是一名已知的威胁行为者，运营一个负责传播 QBot 的垃圾邮件网络，”PRODAFT 在 X 上的一篇帖子中表示。“作为 BLACKBASTA 内的关键人物，他的行为在该团伙的不稳定中起到了重要作用。” 泄露的聊天记录包含近 200,000 条消息，其中一些关键内容如下： Lapa 是 Black Basta 的主要管理员之一，负责管理任务。 Cortes 与 QakBot 团伙有关联，该团伙在 Black Basta 针对俄罗斯银行的攻击后试图与之划清界限。 YY 是 Black Basta 的另一名管理员，负责支持任务。 Trump 是“该团伙主要头目”Oleg Nefedov 的一个别名，他还使用 GG 和 AA 这两个名字。 Trump 和另一名成员 Bio 曾在现已解散的 Conti 勒索软件团伙中合作。 据信，Black Basta 的一名成员是一名 17 岁的未成年人。 在 Scattered Spider 成功后，Black Basta 开始积极将社会工程学纳入其攻击手段。 据 Qualys 称，Black Basta 团伙利用已知漏洞、配置错误和安全控制不足来获取对目标网络的初始访问权限。讨论显示，SMB 配置错误、暴露的 RDP 服务器和弱身份验证机制经常被利用，通常依赖默认的 VPN 凭证或暴力破解被盗凭证。 目前，Black Basta 尚未发布这些漏洞的补丁。在此期间，使用受影响系统的组织应采取以下防御措施： 限制对敏感日志文件和目录的访问。 对日志和备份文件应用严格的文件权限。 避免记录敏感的会话相关数据。 在存储前加密敏感数据。 在生产环境中禁用调试模式。 实施更强的身份验证和会话管理。 定期对系统及其文件处理过程进行安全审计。 强烈建议使用受影响系统的组织立即采取行动，保护其关键基础设施免受潜在攻击。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

5月11日（上周六），CISA 和FBI表示，Black Basta 勒索软件的附属组织在 2022 年 4 月至 2024 年 5 月期间入侵了 500 多个组织。 美国卫生与公众服务部（HHS）和多州信息共享与分析中心（MS-ISAC）合作发布的联合报告中提到，该团伙还加密并窃取了16个关键基础设施部门中至少12个部门的数据。 CISA 表示：Black Basta 的附属组织已将目标锁定在北美、欧洲和澳大利亚的 500 多家私营企业和关键基础设施实体，其中包括医疗保健组织。 Black Basta 最早于 2022 年 4 月以勒索软件即服务（RaaS）的形式出现。近几年来其附属公司入侵了多家知名企业、机构，包括德国国防承包商莱茵金属、现代汽车欧洲分部、英国技术外包公司 Capita、工业自动化公司和政府承包商 ABB、多伦多公共图书馆、美国牙医协会、索比斯、可耐福和加拿大黄页等。 2022 年 6 月，Conti 网络犯罪集团在历经了一系列数据泄露事件发生后正式关闭，然后分裂成多个集团， Black Basta就是其中之一。 2023 年 3 月，卫生与公众服务部的安全团队在一份报告中提到：该威胁组织在最初运作的两周内就大量攻击了至少 20 名受害者，这表明它在勒索软件方面经验丰富，并拥有稳定的初始访问来源。 不少人怀疑该组织与俄罗斯网络威胁组织有所关联。主要是因为其精通勒索软件的复杂程度，同时该组织也很少会在暗网论坛上招募或做广告，不少人认为该组织可能是RaaS 威胁组织 Conti 的再版。 根据 Elliptic 和 Corvus Insurance 的研究，在 2023 年 11 月之前，这个与俄罗斯有关联的勒索软件团伙还从 90 多名受害者那里收取了至少 1 亿美元的赎金。 截至 2023 年 6 月的攻击次数和赎金支付情况 联合咨询还为防御者提供了 Black Basta 关联公司使用的战术、技术和程序 (TTP) 以及在联邦调查局调查中发现的破坏指标 (IOC)。 防御者应及时更新操作系统、软件和固件，要求尽可能多的服务采用防网络钓鱼的多因素身份验证（MFA），并培训用户识别和报告网络钓鱼企图，以降低 Black Basta 勒索软件的攻击风险。 他们还应该通过应用 CISA 推荐的缓解措施来确保远程访问软件的安全，尽可能频繁地备份设备配置和关键系统，以便更快地进行修复和恢复，并实施《StopRansomware 指南》中分享的缓解措施。 这些机构特别强调了医疗保健机构在此次勒索软件行动中面临的更大风险，并敦促它们确保采用这些建议的缓解措施来阻止潜在的攻击。 CISA 和 FBI 警告称：医疗机构由于其规模、对技术的依赖性、以及对个人健康信息的访问权限以及病人护理中断所造成的独特影响，成为网络犯罪分子的诱人目标。 编写组织敦促 HPH 部门和所有关键基础设施组织应用本 CSA 中 “缓解 “部分的建议，以降低遭受 Black Basta 和其他勒索软件攻击的可能性。 虽然联邦机构没有透露发布此警告的背后原因，但或许与上周发生的一起疑似 Black Basta 勒索软件攻击事件有关。据称有黑客入侵了医疗保健巨头 Ascension 的系统，迫使美国医疗保健网络将救护车转向未受影响的设施。 5月10日（上周五），Health-ISAC（信息共享与分析中心）也发布了一份威胁公告，警告Black Basta勒索软件团伙最近加强对医疗保健行业的攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/400733.html 封面来源于网络，如有侵权请联系删除 

HackerNews 编译，转载请注明出处： 本周，勒索软件组织 Black Basta 宣称将美洲免税店 Duty Free Americas (DFA)纳入其新增的十几个新勒索软件受害者之一。且已从其公司网络系统中窃取了约 1.5 TB 的敏感信息。 BlackBasta网站截图 DFA总部位于佛罗里达州，被誉为西半球最大的免税零售商，拥有1000多名员工，并经营自己的仓库和配送中心。 该公司在美国、中美洲和南美洲的机场和海港以及美国与墨西哥和加拿大边境的部分地区拥有 250 家品牌专卖店。 安全研究员多米尼克·阿尔维耶里（Dominic Alvieri）于周二首次在X平台上发布了有关此次攻击的信息。“Black Basta发布了相关信息，其中包括位于200多个机场和边境口岸的Duty Free Americas”。 用户发布帖子截图 Black Basta声称窃取了DFA的多个部门文件，包括会计、财务、法律和人力资源等，其中包含大量敏感员工数据。 该组织发布了约15个样本泄露页面，其中约十个内容是DFA员工的护照、社会保障卡和驾驶执照。另外还展示了带有完整帐号的信用卡复印件。 BlackBasta DFA 泄漏样本 DFA是法利克集团的全资子公司，法利克集团是法利克家族经营的奢侈品牌香水帝国。 大量属于法利克家族成员的敏感文件已被泄露到Black Basta网站上，包括出生证明、结婚证书、宗教文件、美国司法部指纹检查文件、登机牌以及379,000美元的信用卡账单样本。目前该公司暂未回复。 Black Basta被认为是俄罗斯Conti勒索软件团伙的一个分支，自2022年以来，已赚取超过1亿美元的比特币赎金。 BlackBasta 泄露博客 本次， Black Basta 网站上列出的其他受害者包括佛兰德“Duvel”Moortgat Brewing Company、Xcel 奢侈品牌授权和管理公司以及北美最大的便利店分销商之一帝国贸易公司。     消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文