据称属于黑巴斯塔勒索软件团伙的大量聊天记录已经泄露在网上,揭露了这个与俄罗斯有联系的团伙的关键成员。
这些聊天记录包括自2023年9月18日至2024年9月28日的20万余条消息,由一名泄密者分享给威胁情报公司Prodaft。该网络安全公司表示,此次泄露发生在黑巴斯塔团伙内部发生“内部冲突”之际,因为一些成员据称未能为支付勒索要求的受害者提供有效的解密工具。
目前尚不清楚使用别名“ExploitWhispers”在Telegram上的泄密者是否是黑巴斯塔团伙的成员。
黑巴斯塔是一个频繁活跃的俄语勒索软件团伙,美国政府已经将其与数百起针对关键基础设施和全球企业的攻击联系起来,公开透露的受害者包括美国医疗保健组织Ascension、英国公用事业公司Southern Water和英国外包巨头Capita。泄漏的聊天记录让人第一次能够深入了解这个勒索软件团伙,包括一些未报告的目标。
根据Prodaft在X上的一篇文章,泄密者表示黑客通过瞄准俄罗斯国内银行“越界了”。
泄密者写道:“因此,我们致力于揭露真相,并调查黑巴斯塔的下一步行动。”
目标受害者、漏洞和一名十几岁的黑客
TechCrunch从Prodaft获取了黑客的聊天记录副本,记录了勒索软件团伙的关键成员的详细信息。
这些成员包括“YY”(黑巴斯塔的主要管理员);“Lapa”(黑巴斯塔的另一名关键领导者);“Cortes”(与Qakbot僵尸网络有关的黑客);以及“Trump”(也被称为“AA”和“GG”)。
据信,黑客“Trump”是Oleg Nefedovaka使用的化名,Prodaft的研究人员将他描述为“这个团伙的主要老板”。研究人员将Nefedovaka与现已解散的Conti勒索软件团伙联系起来,此后该团伙在其内部聊天记录泄露后宣布支持俄罗斯于2022年发动对乌克兰的全面入侵后很快就关闭了。
泄漏的黑巴斯塔聊天记录还引用了一名成员称他们只有17岁的消息,TechCrunch已经看到。
我们统计,泄露的聊天记录包含与ZoomInfo上托管的公司信息相关的380个唯一链接,ZoomInfo是一家收集并出售企业及其员工信息访问权的数据经销商,聊天记录显示黑客们利用这些链接来研究他们瞄准的公司。这些链接还表明在12个月内该团伙瞄准的组织数量的一些线索。
聊天记录还揭示了该团伙运营的前所未有的见解。消息中包括关于黑巴斯塔的受害者的细节,他们在网络攻击中使用的仿冒模板的副本,团伙使用的一些漏洞,与勒索付款相关的加密货币地址,以及有关勒索要求和受害者与被入侵组织的谈判的详细信息。
TechCrunch还发现了黑客讨论有关正在活动中的Qakbot活动的文章的聊天记录,尽管早些时候FBI进行了打击行动,旨在使臭名昭著的僵尸网络离线。
TechCrunch还发现了一些先前未知的目标组织的聊天记录。其中包括破产的美国汽车巨头Fisker;现在由Oracle所有的医疗技术提供商Cerner Corp.;以及总部位于英国的旅行公司Hotelplan。目前尚不清楚这些公司是否受到入侵,而且这些公司都未回应TechCrunch的询问。
聊天记录似乎显示了该团伙利用企业网络设备(如路由器和防火墙)中的安全漏洞的努力,这些设备位于公司网络的外围,充当数字门卫。
黑客吹嘘他们利用Citrix远程访问产品的漏洞来闯入至少两家公司的网络。该团伙还讨论了利用Ivanti、Palo Alto Networks和Fortinet软件漏洞进行网络攻击的话题。
一些黑巴斯塔成员之间的对话还表明,他们担心因应地缘政治压力而受到俄罗斯当局的调查。虽然俄罗斯长期以来一直是勒索软件团伙的安全避风港,但黑巴斯塔也担心美国政府的行动。
黑巴斯塔的暗网泄漏网站,用于公开勒索受害者支付团伙赎金要求,此时已经下线。
