De interne loggegevens van de ransomwarebende Black Basta tussen september 2023 en september 2024 zijn onlangs gelekt. De data geven een interessant inkijkje in de tools die de bende gebruikt, maar ook in hun slachtoffers en het delen van gestolen informatie.
Recent heeft de hacker ExploitWhispers een archief met interne Matrix-chatlogs van de Black Basta-ransomwarebende gedeeld op het MEGA-file-sharingplatform en later via een Telegram-kanaal. Dit stellen security-experts van PRODAFT in een post op X.
Gelekte data
In het bewuste archief zijn chatlogs te vinden uit de periode tussen 18 september 2023 en 28 september 2024 van de ransomwarebende. In deze ware goudmijn bevinden zich gegevens zoals phishingtemplates, e-mails om deze te verzenden, cryptocurrency-adressen, data drops, inloggegevens van slachtoffers en bevestigingen van gebruikte tactieken.
Daarnaast bevat de gelekte informatie 367 unieke ZoomInfo-links met gegevens over slachtoffers. Op het platform ZoomInfo delen hackers vaak informatie intern of met slachtoffers gedurende onderhandelingen.
Andere gelekte gegevens betroffen informatie over leden van Black Basta, waaronder Lapa, een van de admins, en hacker Cortes, die ook aan Qakbot wordt gelinkt. Andere hackers over wie informatie naar buiten is gekomen, zijn YY, de belangrijkste admin van Black Basta, en Trump, oftewel Oleg Nefedovaka, de leider van de hackersbende.
Intern conflict binnen Black Basta
De data van de ransomwarebende zijn mogelijk op straat komen te liggen vanwege een intern conflict, geven de security-experts van PRODAFT aan. De oorzaak zou zijn dat sommige leden een probleem hadden met aanvallen op Russische banken.
Black Basta is dit jaar grotendeels inactief. Dit komt mogelijk door interne ruzies, waarbij bepaalde leden slachtoffers afpersten zonder uiteindelijk na betaling functionele decryptors te leveren.
Ook zouden begin dit jaar vooraanstaande leden van Black Basta zijn overgestapt naar de ransomwarebende Cactus (Nurturing Mantis) en andere cyberbendes.
Het is niet de eerste keer dat interne data van ransomwarebendes op straat komt te liggen. In februari 2022 lekte een securityonderzoeker uit Oekraïne meer dan 170.000 interne chatconversaties en de broncode van de beruchte Conti-ransomwarebende. Dit gebeurde nadat de Conti-cybercriminelen hadden laten weten de Russische inval te ondersteunen.
Lees ook: Ramsomwarebende claimt hack op Centric