\nUna gran cantidad de registros de chat supuestamente pertenecientes al grupo de ransomware Black Basta ha sido filtrada en línea, exponiendo a los miembros clave de la prolífica banda vinculada a Rusia.
\n\nLos registros de chat, que incluyen más de 200,000 mensajes que abarcan desde el 18 de septiembre de 2023 hasta el 28 de septiembre de 2024, fueron compartidos con la empresa de inteligencia de amenazas Prodaft por un filtrador. La firma de ciberseguridad señala que la filtración se produjo en medio de un "conflicto interno" dentro del grupo Black Basta después de que algunos miembros supuestamente no proporcionaron a sus víctimas herramientas de descifrado funcionales a pesar de haber pagado una demanda de rescate.
\n\nAún no se sabe si el filtrador, que usa el seudónimo "ExploitWhispers" en Telegram, era un miembro de la banda Black Basta.
\n\nBlack Basta es una prolífica banda de ransomware de habla rusa, a la que el gobierno de EE. UU. ha vinculado a cientos de ataques contra infraestructuras críticas y empresas globales, cuyas víctimas conocidas públicamente incluyen a la organización de salud de EE. UU. Ascension, la empresa del Reino Unido Southern Water y el gigante británico de externalización Capita. Los registros de chat filtrados ofrecen una mirada nunca antes vista dentro de la banda de ransomware, incluyendo algunos de sus objetivos no reportados.
\n\nSegún una publicación en X de Prodaft, el filtrador dijo que los piratas informáticos “cruzaron la línea” al dirigirse a los bancos rusos internos.
\n\n“Así que estamos dedicados a descubrir la verdad e investigar los próximos pasos de Black Basta”, escribió el filtrador.
\n\nVíctimas, exploits y un hacker adolescente
\n\nTechCrunch obtuvo una copia de los registros de chat de los hackers de Prodaft, que contienen detalles sobre los miembros clave de la banda de ransomware.
\nEstos miembros incluyen a "YY" (el principal administrador de Black Basta); "Lapa" (otro de los principales líderes de Black Basta); "Cortes" (un hacker vinculado a la botnet Qakbot); y "Trump" (también conocido como "AA" y "GG").
\n\nSe cree que el hacker "Trump" es un alias utilizado por Oleg Nefedovaka, a quien los investigadores de Prodaft describen como "el jefe principal del grupo." Los investigadores vincularon a Nefedovaka con el grupo de ransomware Conti, ya desaparecido, que se disolvió poco después de que se filtraran sus registros de chat internos tras declarar su apoyo a la invasión a gran escala de Ucrania por parte de Rusia en 2022.
\n\nLos registros de chat filtrados de Black Basta también citan a un miembro que afirma tener 17 años, según ha visto TechCrunch.
\nSegún nuestro conteo, los chats filtrados contienen 380 enlaces únicos relacionados con información de empresas alojada en ZoomInfo, un intermediario de datos que recopila y vende acceso a empresas y sus empleados, que los registros de chat muestran que los hackers utilizaron para investigar las empresas a las que apuntaban. Los enlaces también dan indicaciones sobre la cantidad de organizaciones atacadas por la banda durante el período de 12 meses.
\n\nLos registros de chat también revelan información sin precedentes sobre las operaciones del grupo. Los mensajes incluyen detalles sobre las víctimas de Black Basta, copias de plantillas de phishing utilizadas en sus ciberataques, algunos de los exploits utilizados por la banda, direcciones de criptomonedas asociadas con pagos de rescate y detalles sobre las demandas de rescate y las negociaciones de las víctimas con las organizaciones hackeadas.
\n\nTambién encontramos registros de chat de los hackers discutiendo un artículo de TechCrunch sobre la actividad continua de Qakbot, a pesar de una operación anterior del FBI dirigida a desactivar la notoria botnet.
\n\nTechCrunch también encontró registros de chat que mencionaban varias organizaciones previamente desconocidas como objetivos. Esto incluye a la fallida gigante automotriz estadounidense Fisker; el proveedor de tecnología de la salud Cerner Corp., que ahora es propiedad de Oracle; y la empresa de viajes con sede en el Reino Unido Hotelplan. Aún no se sabe si las empresas fueron comprometidas, y ninguna de las empresas respondió a las preguntas de TechCrunch.
\n\nLos registros de chat parecen mostrar los esfuerzos del grupo en explotar vulnerabilidades de seguridad en dispositivos de red empresariales, como routers y firewalls que se encuentran en el perímetro de la red de una empresa y actúan como guardianes digitales.
\n\nLos hackers presumieron de su capacidad para explotar vulnerabilidades en productos de acceso remoto de Citrix para ingresar a al menos dos redes de empresas. La banda también habló de explotar vulnerabilidades en software de Ivanti, Palo Alto Networks y Fortinet para llevar a cabo ciberataques.
\n\nUna conversación entre miembros de Black Basta también sugiere que algunos del grupo estaban preocupados por ser investigados por las autoridades rusas en respuesta a las presiones geopolíticas. Aunque Rusia ha sido durante mucho tiempo un refugio seguro para las bandas de ransomware, Black Basta también estaba preocupado por las acciones del gobierno de EE. UU.
\n\nLos mensajes enviados después de la violación de los sistemas de Ascension por parte del grupo advirtieron que el FBI y CISA están “100% obligados” a intervenir y podrían llevar a las agencias a “tomar una postura dura contra Black Basta.”
\n\nEl sitio de filtración en la web oscura de Black Basta, que utilizan para extorsionar públicamente a las víctimas para que paguen una demanda de rescate a la banda, estaba fuera de línea en el momento de la publicación.
