فاش شدن چت‌لاگ‌های بزرگ گروه Black Basta: افشای اعضای کلیدی و قربانیان این باند باج‌افزاری!

اخیراً یک مجموعه از گفتگوهای چت که به گروه باج‌افزاری بلک باستا تعلق دارد، به صورت آنلاین منتشر شده است. این اطلاعات به افشای اعضای کلیدی این باند پرآوازه مرتبط با روسیه می‌پردازد.

این گفتگوها شامل بیش از ۲۰۰,۰۰۰ پیام است که از ۱۸ سپتامبر ۲۰۲۳ تا ۲۸ سپتامبر ۲۰۲۴ ادامه داشته و توسط یک افشاگر به شرکت تهدید اطلاعاتی پرو دافت ارائه شده است. این شرکت امنیت سایبری اعلام کرده که این افشاگری در پی وجود “اختلافات داخلی” در گروه بلک باستا رخ داده است، زیرا برخی اعضا به رغم دریافت مبلغ باج، به قربانیان خود ابزارهای رمزگشایی کارآمد ارائه نکرده‌اند.

هنوز مشخص نیست که آیا افشاگر که با نام مستعار “ExploitWhispers” در تلگرام شناخته می‌شود، یکی از اعضای گروه بلک باستا بوده است یا خیر.

گروه بلک باستا یکی از گروه‌های باج‌افزاری پرتعداد به زبان روسی است که دولت ایالات متحده آن را به صدها حمله به زیرساخت‌های حیاتی و کسب و کارهای جهانی مرتبط می‌داند. قربانیان شناخته‌شده این گروه شامل سازمان بهداشت و درمان ایالات متحده Ascension، شرکت خدماتی بریتانیایی Southern Water و غول برون‌سپاری بریتانیایی Capita هستند. گفتگوهای افشا شده نگاهی بی‌سابقه به داخل این گروه باج‌افزاری ارائه می‌دهند و شامل برخی از اهداف گزارش نشده آن‌ها نیز می‌شود.

بر اساس یک پست در شبکه اجتماعی X توسط پرو دافت، افشاگر اعلام کرده که هکرها “خط قرمز” را با هدف قرار دادن بانک‌های داخلی روسیه رد کرده‌اند.

وی اضافه کرد: “ما به دنبال کشف حقیقت و بررسی مراحل بعدی بلک باستا هستیم.”

اعضای کلیدی گروه بلک باستا

“YY” (مدیر اصلی بلک باستا)
“Lapa” (یکی دیگر از رهبران کلیدی بلک باستا)
“Cortes” (هکری مرتبط با بات‌نت Qakbot)
“Trump” (همچنین با نام‌های “AA” و “GG” شناخته می‌شود)

READ پژوهشگران: چند کشور به عنوان مشتریان احتمالی نرم‌افزار جاسوسی پاراگون معرفی شدند!

هکر “Trump” به احتمال زیاد نام مستعار Oleg Nefedovaka است که محققان پرو دافت او را به عنوان “رئیس اصلی گروه” توصیف کرده‌اند. محققان Nefedovaka را به گروه باج‌افزاری Conti که به تازگی تعطیل شده، مرتبط می‌دانند. این گروه پس از انتشار گفتگوهای داخلی خود و اعلام حمایت از حمله روسیه به اوکراین در سال ۲۰۲۲، به فعالیت‌های خود پایان داد.

گفتگوهای افشاشده بلک باستا همچنین یکی از اعضا را نقل کرده که گفته‌اند آنان ۱۷ ساله هستند.

بر اساس بررسی ما، گفتگوهای افشا شده شامل ۳۸۰ لینک منحصر به فرد مرتبط با اطلاعات شرکت‌ها بوده که بر روی Zoominfo، یک دلال داده که به جمع‌آوری و فروش اطلاعات کسب و کارها و کارکنان آن‌ها می‌پردازد، میزبانی می‌شود. این لینک‌ها همچنین به ما نشان می‌دهند که گروه در طول یک سال به چندین سازمان حمله کرده است.

این گفتگوها همچنین بینش‌های بی‌سابقه‌ای از عملیات گروه را فاش می‌کنند. پیام‌ها شامل جزئیات مربوط به قربانیان بلک باستا، نسخه‌هایی از الگوهای فیشینگ مورد استفاده در حملات سایبری، برخی از آسیب‌پذیری‌های مورد استفاده توسط گروه، آدرس‌های رمزارز مرتبط با پرداخت‌های باج، و جزئیات مربوط به درخواست‌های باج و مذاکرات قربانیان با سازمان‌های هک شده هستند.

ما همچنین گفتگوهای هکرها را درباره یک مقاله در TechCrunch که به فعالیت‌های جاری Qakbot پرداخته، پیدا کردیم، هرچند که قبلاً یک عملیات اف‌بی‌آی برای حذف این بات‌نت مشهور انجام شده بود.

گفتگوها همچنین نام چندین سازمان هدف ناشناخته را فاش کردند. این شامل خودروسازی آمریکایی Fisker، ارائه‌دهنده سلامت‌تک Cerner Corp که اکنون متعلق به Oracle است، و شرکت سفر مستقر در بریتانیا Hotelplan می‌شود. هنوز مشخص نیست که آیا این شرکت‌ها مورد نفوذ قرار گرفته‌اند یا خیر و هیچ‌یک از این شرکت‌ها به استعلام‌های TechCrunch پاسخ نداده‌اند.

READ فروشگاه بزرگ رویای دالرگوت: تجربه‌ای بی‌نظیر در کتابفروشی‌های ایران

گفتگوها به نظر می‌رسد نشان‌دهنده تلاش‌های گروه در بهره‌برداری از باگ‌های امنیتی در دستگاه‌های شبکه شرکتی، مانند روترها و دیوارهای آتش است که در حاشیه شبکه یک شرکت قرار دارند و به عنوان دروازه‌بانان دیجیتال عمل می‌کنند.

هکرها توانایی خود را در بهره‌برداری از آسیب‌پذیری‌های محصولات دسترسی از راه دور Citrix برای نفوذ به حداقل دو شبکه شرکتی به نمایش گذاشته‌اند. گروه همچنین در مورد بهره‌برداری از آسیب‌پذیری‌های نرم‌افزارهای Ivanti، Palo Alto Networks و Fortinet برای انجام حملات سایبری صحبت کرده‌اند.

در یک گفتگو بین اعضای بلک باستا، همچنین نگرانی‌هایی درباره احتمال بررسی آنها توسط مقامات روسیه در پاسخ به فشارهای ژئوپلیتیکی مطرح شده است. در حالی که روسیه مدت‌هاست که به عنوان پناهگاهی برای گروه‌های باج‌افزاری شناخته می‌شود، بلک باستا همچنین نگران اقداماتی است که توسط دولت ایالات متحده انجام می‌شود.

پیام‌هایی که پس از نفوذ گروه به سیستم‌های Ascension ارسال شده، هشدار می‌دهد که اف‌بی‌آی و CISA “به شدت ملزم” به مداخله هستند و این می‌تواند به “موضع سخت‌تری در برابر بلک باستا” منجر شود.

در زمان انتشار، وب‌سایت افشای تاریک بلک باستا که برای اخاذی عمومی از قربانیان استفاده می‌شود، در دسترس نبود.

نوشته‌های مشابه

امنیت سایبری

مشاور امنیت ملی ترامپ با استفاده از حساب جیمیل شخصی‌اش به انجام کارهای دولتی پرداخت!

آوریل 2, 2025آوریل 2, 2025

در گزارشی از واشنگتن پست، مشخص شده که اعضای ارشد شورای امنیت ملی دولت ترامپ، از جمله مایکل والتز، برای کارهای دولتی از جیمیل استفاده کرده‌اند. این موضوع پس از بحث‌های حساس چند مقام کابینه در چت گروهی سیگنال مطرح شد. یکی از دستیاران والتز از جیمیل مصرفی برای مکالمات فنی درباره مسائل نظامی استفاده کرده و والتز نیز اطلاعات “کم حساس‌تر” را به حساب شخصی خود ارسال کرده است. این اقدام‌ها می‌تواند عواقب جدی در زمینه امنیت ملی داشته باشد و نیاز به سیاست‌های سخت‌گیرانه‌تری در استفاده از ابزارهای ارتباطی در نهادهای دولتی را نشان می‌دهد.

امنیت سایبری

کاهش نیروی کار تیم “قرمز” CISA توسط DOGE در پی کاهش‌های فدرال ادامه‌دار

مارس 12, 2025مارس 12, 2025

اداره کارایی دولت ایلان ماسک (DOGE) بیش از صد کارمند از آژانس امنیت سایبری ایالات متحده (CISA) را اخراج کرده است، از جمله اعضای تیم “قرمز” که مسئول شبیه‌سازی حملات برای شناسایی نقاط ضعف امنیتی هستند. این اخراج‌ها بدون هشدار قبلی انجام شده و شامل افرادی از تیم واکنش به حوادث سایبری (CIRT) نیز می‌شود. این کاهش کارکنان نگرانی‌هایی را درباره آینده امنیت سایبری دولت ایالات متحده ایجاد کرده است. کارشناسان به تأثیرات این تغییرات بر امنیت کشور و سوالات درباره اولویت‌های امنیت سایبری دولت جدید اشاره کرده‌اند.

امنیت سایبری

آینده نامشخص 23andMe و نگرانی‌ها درباره داده‌های ژنتیکی شما!

مارس 24, 2025مارس 24, 2025

شرکت 23andMe به دلیل یک نقض داده در سال 2023 و کاهش مالی مستمر، با بحران جدی مواجه شده است. ارزش این شرکت از اوج 6 میلیارد دلاری خود در اوایل 2021 به بیش از 99% کاهش یافته و هنوز موفق به سوددهی نشده است. نقض داده‌ها منجر به سرقت اطلاعات 7 میلیون کاربر شده و شرکت 30 میلیون دلار برای تسویه این شکایت پرداخت کرد. بنیان‌گذار شرکت اعلام کرده که به دنبال پیشنهادهای خرید است و پس از درخواست ورشکستگی در مارس 2024، داده‌های مشتریان در معرض خطر فروش قرار دارد. از کاربران خواسته شده تا حساب‌های خود را حذف کنند.

ورزش

گل‌محمدی از سرمربیگری فولاد کناره‌گیری کرد: تغییرات بزرگ در فوتبال ایران!

فوریه 8, 2025فوریه 11, 2025

یحیی گل‌محمدی، سرمربی تیم فوتبال فولاد، روز شنبه از سمت خود کناره‌گیری کرد. این تصمیم پس از انتقادهای او از سیاست‌های نقل و انتقالاتی باشگاه و صحبت‌هایش در کنفرانس خبری پس از بازی با خیبر اتخاذ شد. گل‌محمدی در تمرینات روز شنبه شرکت نکرد و این موضوع نگرانی‌هایی را درباره آینده‌اش ایجاد کرد. واکنش باشگاه به این کناره‌گیری هنوز مشخص نیست. هواداران نگران تأثیر این تغییر بر عملکرد تیم هستند، در حالی که فولاد باید به سرعت تصمیمات لازم را برای جلوگیری از بحران اتخاذ کند. آینده این تیم به اقدامات باشگاه بستگی دارد.

امنیت سایبری

آنچه پاوراسکول درباره نقض داده‌ها و تأثیر آن بر میلیون‌ها دانش‌آموز نمی‌گوید!

مارس 11, 2025مارس 11, 2025

در ژانویه 2025، هک شرکت PowerSchool، یکی از بزرگ‌ترین نقض‌های داده‌های آموزشی در سال‌های اخیر، اعلام شد. این شرکت نرم‌افزار K-12 را به بیش از 18 هزار مدرسه در آمریکای شمالی ارائه می‌دهد. هکر ناشناس با استفاده از اعتبار مخدوش شده به پرتال پشتیبانی مشتریان نفوذ کرده و به سیستم اطلاعات مدرسه‌ای دسترسی پیدا کرده است. اطلاعات حساسی مانند سوابق دانش‌آموزان و نمرات به سرقت رفته‌اند، اما تعداد دقیق افراد تحت تأثیر و نوع داده‌های دزدیده‌شده هنوز مشخص نیست. این حادثه نواقص امنیتی در سیستم‌های آموزشی را نمایان کرده است.

امنیت سایبری

غول IVF استرالیایی “جنی” تأیید کرد: هکرها به داده‌ها در حمله سایبری دسترسی پیدا کردند!

فوریه 19, 2025فوریه 19, 2025

شرکت استرالیایی Genea، یکی از بزرگترین ارائه‌دهندگان خدمات IVF در استرالیا، از وقوع یک حمله سایبری خبر داده است که به خدمات بیماران آسیب زده و احتمالاً به اطلاعات حساس دسترسی پیدا کرده است. این حادثه نگرانی‌های زیادی درباره امنیت داده‌ها و حریم خصوصی بیماران ایجاد کرده است. Genea تأیید کرده که تحقیقات در حال انجام است و اقدامات فوری برای کنترل و تأمین سیستم‌های خود انجام داده‌اند. برنامه MyGenea نیز به دلیل این حادثه از دسترس خارج شده است. این وضعیت نیازمند توجه ویژه به امنیت سایبری در صنعت بهداشت و درمان است.