泄露事件揭露 Black Basta 勒索软件组织的战术、技术与流程

Black Basta 勒索软件组织内部聊天记录的泄露重大泄露事件，为网络安全研究人员提供了前所未有的事件术技术流洞察，揭示了其运作模式。揭露

Telegram 用户 ExploitWhispers 公布了此次泄露事件，勒索其中包含约 20 万条聊天记录，软件时间跨度从 2023 年 9 月到 2024 年 6 月。组织此次泄密的泄露重要性可与 2022 年影响 Conti 勒索软件团伙的泄露事件相提并论，为威胁情报专家提供了关于 Black Basta 的事件术技术流能力、工具和动机的揭露宝贵信息。

Black Basta 于 2022 年出现，勒索采用勒索软件即服务（RaaS）模式运营，软件其目标遍布全球多个国家，组织包括美国、泄露日本、事件术技术流澳大利亚、揭露英国、加拿大和新西兰。这个以经济利益为导向的俄语组织采用双重勒索策略，不仅加密受害者的数据，还威胁如果不支付赎金，将公开窃取的信息。

其影响范围广泛，在 2022 年 4 月至 2024 年 5 月期间，北美、欧洲和澳大利亚的香港云服务器 500 多家实体受到影响。2024 年 5 月 10 日，美国网络安全和基础设施安全局（CISA）与联邦调查局（FBI）联合发布的一份报告详细描述了 Black Basta 的广泛活动。报告指出，该组织已针对 16 个关键基础设施行业中的 12 个，研究人员特别强调了其对医疗组织的关注，因为这些组织规模大且潜在影响深远。

这份与美国卫生与公众服务部以及多州信息共享与分析中心联合发布的分析报告，提供了关于该组织的战术、技术和程序（TTPs）以及入侵指标的关键信息。

根据 Intel471 威胁猎手对泄露通信的分析，Black Basta 的攻击方法通常从初始访问开始，主要通过网络钓鱼邮件（包含恶意附件或链接）、被入侵的网站或利用已知漏洞。在最近的活动中，观察到的附属组织向受害者发送大量垃圾邮件，随后通过电话冒充 IT 人员，提供垃圾邮件问题的帮助。在这些通话中，受害者被说服下载远程支持工具，亿华云计算从而使攻击者获得对其系统的访问权限。

泄露事件还揭示了 Black Basta 操作者使用的复杂技术工具库。在侦察阶段，他们使用 ifconfig.exe、netstat.exe 和 ping.exe 等发现工具，以及滥用 WMIC 来收集目标网络的信息。SoftPerfect 网络扫描器（netscan.exe）专门用于调查受害者网络。

为了绕过防御，该组织利用临时目录、滥用后台智能传输服务（BITS）组件，并篡改 Windows Defender。有时还会部署名为 Backstab 的工具，禁用可能干扰其操作的防病毒产品。通过 AnyDesk 等远程管理工具建立命令和控制访问，而横向移动则通过 BITSAdmin 和 PsExec 实现。其工具库中还包括 Splashtop、Screen Connect 和 Cobalt Strike 信标。

在凭证访问方面，Black Basta 操作者利用 Mimikatz 获取凭证，并在受感染环境中提升权限。PowerShell 脚本经常被滥用于下载文件和执行恶意载荷。数据窃取是其双重勒索计划中的关键步骤，主要通过 Rclone 工具进行，有时也使用 WinSCP。

在确保窃取数据后，操作者开始加密本地和网络驱动器上的云南idc服务商文件，并为加密文件附加 “.basta” 扩展名，同时放置包含联系方式和特定 URL 的勒索说明。为了防止恢复操作，Black Basta 攻击者使用命令 “vssadmin.exe delete shadows /all /quiet” 删除卷影副本，并通过创建计划任务实现持久化。

该组织通过聊天通信维护操作安全，其中包括关于目标选择和勒索软件部署技术的讨论，而这些信息现已通过泄露事件暴露。此次揭露的技术细节为网络安全防御者提供了宝贵信息，帮助他们制定更好的检测和缓解策略，以应对这一臭名昭著的威胁组织。