تم تسريب مجموعة من سجلات الدردشة التي يُزعم أنها تنتمي إلى مجموعة برامج الفدية Black Basta عبر الإنترنت، مما كشف عن أعضاء رئيسيين في العصابة المرتبطة بروسيا.
وقد شارك أحد المسربين سجلات الدردشة، التي تتضمن أكثر من 200 ألف رسالة تمتد من 18 سبتمبر 2023 إلى 28 سبتمبر 2024، مع شركة استخبارات التهديدات Prodaft. وتقول شركة الأمن السيبراني إن التسريب يأتي وسط “صراع داخلي” داخل مجموعة Black Basta بعد أن فشل بعض الأعضاء في تزويد ضحاياهم بأدوات فك تشفير وظيفية على الرغم من دفع طلب فدية.
ولم يعرف بعد ما إذا كان المسرب الذي يستخدم الاسم المستعار “ExploitWhispers” على Telegram عضوًا في عصابة Black Basta.
Black Basta هي عصابة برامج الفدية الناطقة باللغة الروسية، والتي ربطتها الحكومة الأمريكية بمئات الهجمات على البنية التحتية الحيوية والشركات العالمية ، ومن بين ضحاياها المعروفين علنًا منظمة الرعاية الصحية الأمريكية Ascension وشركة المرافق البريطانية Southern Water وشركة التعهيد البريطانية العملاقة Capita. تقدم سجلات الدردشة المسربة نظرة لم يسبق لها مثيل داخل عصابة برامج الفدية، بما في ذلك بعض أهدافها غير المبلغ عنها.
وبحسب منشور على موقع X بواسطة Prodaft ، قال المسرب إن المتسللين “تجاوزوا الخط” باستهداف البنوك المحلية الروسية.
وكتب المسرب: “نحن ملتزمون بكشف الحقيقة والتحقيق في الخطوات التالية التي ستتخذها فرقة بلاك باستا”.
الضحايا المستهدفون والثغرات الأمنية ومخترق مراهق
حصل موقع TechCrunch على نسخة من سجلات الدردشة الخاصة بالمتسللين من شركة Prodaft، والتي تحتوي على تفاصيل حول الأعضاء الرئيسيين في عصابة برامج الفدية.
ومن بين هؤلاء الأعضاء “YY” (المسؤول الرئيسي في Black Basta)؛ و”Lapa” (أحد القادة الرئيسيين الآخرين في Black Basta)؛ و”Cortes” (مخترق مرتبط بشبكة Qakbot botnet)؛ و”Trump” (المعروف أيضًا باسم “AA” و”GG”).
ويعتقد أن الهاكر “ترامب” هو اسم مستعار يستخدمه أوليج نيفيدوفاكا، الذي وصفه باحثو برودافت بأنه “الرئيس الرئيسي للمجموعة”. وربط الباحثون نيفيدوفاكا بمجموعة برامج الفدية كونتي المنحلة الآن، والتي أغلقت بعد وقت قصير من تسريب سجلات الدردشة الداخلية الخاصة بها بعد أن أعلنت العصابة دعمها للغزو الروسي الكامل لأوكرانيا في عام 2022.
وتشير سجلات الدردشة المسربة لـ Black Basta أيضًا إلى أن أحد الأعضاء يقول إنه يبلغ من العمر 17 عامًا، وفقًا لما شاهده موقع TechCrunch.
وبحسب حساباتنا، تحتوي المحادثات المسربة على 380 رابطًا فريدًا متعلقًا بمعلومات الشركة المستضافة على ZoomInfo، وهي وسيطة بيانات تجمع وتبيع الوصول إلى الشركات وموظفيها، والتي تُظهر سجلات المحادثات أن المتسللين استخدموها للبحث عن الشركات التي استهدفوها. كما تقدم الروابط بعض المؤشرات على عدد المنظمات التي استهدفتها العصابة خلال فترة الـ 12 شهرًا.
وتكشف سجلات الدردشة أيضًا عن رؤى غير مسبوقة حول عمليات المجموعة. تتضمن الرسائل تفاصيل عن ضحايا Black Basta، ونسخًا من قوالب التصيد المستخدمة في هجماتهم الإلكترونية، وبعض الثغرات التي استخدمتها العصابة، وعناوين العملات المشفرة المرتبطة بمدفوعات الفدية، وتفاصيل حول مطالب الفدية ومفاوضات الضحايا مع المنظمات المخترقة.
لقد عثرنا أيضًا على سجلات دردشة للمتسللين وهم يناقشون مقالة TechCrunch حول نشاط Qakbot المستمر، على الرغم من عملية الإزالة السابقة التي قام بها مكتب التحقيقات الفيدرالي والتي كانت تهدف إلى إخراج شبكة الروبوتات سيئة السمعة من الخدمة.
كما عثر موقع TechCrunch على سجلات دردشة ذكرت أسماء العديد من المنظمات المستهدفة غير المعروفة سابقًا. وتشمل هذه الشركات شركة Fisker العملاقة للسيارات الأمريكية الفاشلة؛ ومزود التكنولوجيا الصحية Cerner Corp.، المملوكة الآن لشركة Oracle؛ وشركة السفر Hotelplan التي تتخذ من المملكة المتحدة مقراً لها. ولم يُعرف بعد ما إذا كانت الشركات قد تعرضت للاختراق، ولم تستجب أي من الشركات لاستفسارات TechCrunch.
ويبدو أن سجلات الدردشة تظهر جهود العصابة في استغلال الثغرات الأمنية في أجهزة شبكات المؤسسات، مثل أجهزة التوجيه وجدران الحماية الموجودة على محيط شبكة الشركة وتعمل كحراس رقميين.
وتباهى المتسللون بقدرتهم على استغلال نقاط الضعف في منتجات الوصول عن بعد من شركة Citrix لاختراق شبكتين على الأقل لشركتين. كما تحدثت العصابة عن استغلال نقاط الضعف في برامج Ivanti وPalo Alto Networks وFortinet لتنفيذ هجمات إلكترونية.
وتشير محادثة بين أعضاء بلاك باستا أيضًا إلى أن بعض أعضاء المجموعة كانوا قلقين بشأن التحقيق معهم من قبل السلطات الروسية استجابة للضغوط الجيوسياسية. وفي حين كانت روسيا منذ فترة طويلة ملاذًا آمنًا لعصابات برامج الفدية، كانت بلاك باستا أيضًا قلقة بشأن الإجراءات التي اتخذتها الحكومة الأمريكية.
حذرت الرسائل المرسلة بعد اختراق المجموعة لأنظمة Ascension من أن مكتب التحقيقات الفيدرالي ووكالة الأمن السيبراني والبنية التحتية “ملزمان بنسبة 100٪” بالتدخل وقد يؤدي ذلك إلى قيام الوكالات “باتخاذ موقف صارم بشأن Black Basta”.
كان موقع تسريبات شبكة الويب المظلمة التابع لعصابة Black Basta، والذي تستخدمه العصابة لابتزاز الضحايا علنًا لدفع فدية للعصابة، غير متصل بالإنترنت وقت نشر هذا المقال.
