一批据称属于黑巴斯塔勒索软件团伙的聊天记录被泄露在网上,揭露了这个与俄罗斯有关的团伙的关键成员。
这批聊天记录包括从2023年9月18日到2024年9月28日期间的20万多条消息,是由一名泄密者与威胁情报公司Prodaft分享的。这家网络安全公司表示,在一些成员未能为支付赎金要求的受害者提供功能性解密工具后,黑巴斯塔团伙内部出现了“内部冲突”,这一泄露就是在这种背景下发生的。
目前尚不清楚使用“电报”上的别名“ExploitWhispers”的泄密者是否曾是黑巴斯塔团伙的成员。
黑巴斯塔是一支活跃的俄语勒索软件团伙,美国政府已将其与数百起对关键基础设施和全球企业的攻击联系在一起,其公开已知的受害者包括美国医疗组织Ascension、英国公用事业公司Southern Water和英国外包巨头Capita。泄露的聊天记录让人们得以第一次深入了解这个勒索软件团伙,包括一些未报告的目标。
根据Prodaft在X上的一篇文章,泄密者表示这些黑客通过瞄准俄罗斯国内银行“越过了界限”。
“因此,我们致力于揭开真相,调查黑巴斯塔的下一步行动,”泄密者写道。
目标受害者、利用漏洞和未成年黑客
TechCrunch从Prodaft获取了黑客的聊天记录副本,其中包含有关勒索软件团伙关键成员的详细信息。
这些成员包括“YY”(黑巴斯塔的主要管理员);“Lapa”(另一位黑巴斯塔的关键领导者);“Cortes”(与Qakbot僵尸网络有关的黑客);以及“Trump”(也被称为“AA”和“GG”)。
据信,黑客“Trump”是Oleg Nefedovaka使用的别名,Prodaft的研究人员描述他为“该团伙的主要老板”。研究人员将Nefedovaka与已解散的Conti勒索软件团伙联系在一起,该团伙在其内部聊天记录泄露后宣布支持2022年乌克兰全面入侵后不久就关闭了。
泄露的黑巴斯塔聊天记录还引述了一名成员称自己17岁,TechCrunch也看到了这一信息。
根据我们的统计,泄露的聊天记录中包含了380个与ZoomInfo上托管的公司信息相关的链接,ZoomInfo是一家数据经纪商,收集并出售对企业及其员工的访问权限,而聊天记录显示黑客们使用这些链接来研究他们瞄准的公司。这些链接也在一定程度上显示了在这12个月时期内该团伙瞄准的组织数量。
聊天记录还揭示了该团伙运营的前所未有的见解。这些消息包括有关黑巴斯塔的受害者、在他们的网络攻击中使用的钓鱼模板的副本、团伙使用的一些利用漏洞、与赎金支付有关的加密货币地址,以及关于赎金要求和受害组织进行谈判的细节。
我们还发现黑客们讨论了一篇有关Qakbot活动的TechCrunch文章,尽管早先FBI进行了打击行动试图将这一臭名昭著的僵尸网络下线。
TechCrunch还发现了一些聊天记录中提到的几家此前未知的受害组织。其中包括破产的美国汽车巨头Fisker;现在由Oracle拥有的健康科技提供商Cerner Corp. ;以及总部位于英国的旅行公司Hotelplan。目前尚不清楚这些公司是否受到了侵害,也没有一家公司对TechCrunch的询问做出了回应。
这些聊天记录似乎显示了该团伙在利用企业网络设备中的安全漏洞方面的努力,如路由器和防火墙,这些设备位于公司网络的边界,并且作为数字看门人的角色。
黑客们夸耀他们能够利用Citrix远程访问产品的漏洞侵入至少两家公司网络。团伙还谈到了利用Ivanti、Palo Alto Networks和Fortinet软件的漏洞进行网络攻击。
一段关于黑巴斯塔成员之间的对话还表明,一些成员担心受到俄罗斯当局的调查,以应对地缘政治压力。尽管俄罗斯长期以来一直是勒索软件团伙的避风港,但黑巴斯塔也担心美国政府可能采取的行动。
在团伙入侵Ascension系统后发送的消息警告称,FBI和CISA“有义务”介入,并可能导致这些机构“对黑巴斯塔采取强硬态度”。
黑巴斯塔的暗网泄露网站,在该网站上公开勒索受害者以支付团伙赎金要求,此时已经下线。
