Log log obrolan internal yang baru saja bocor di antara anggota operasi ransomware Basta hitam telah mengungkapkan kemungkinan hubungan antara geng E-Crime dan otoritas Rusia.
Kebocoran, yang berisi lebih dari 200.000 pesan dari September 2023 hingga September 2024, diterbitkan oleh pengguna telegram @ExploitWhispers bulan lalu.
Menurut analisis pesan oleh perusahaan cybersecurity TRELLIX, dugaan pemimpin Black Basta Oleg Nefedov (alias GG atau AA) mungkin telah menerima bantuan dari pejabat Rusia setelah penangkapannya di Yerevan, Armenia, pada Juni 2024, yang memungkinkannya melarikan diri tiga hari kemudian.
Dalam pesan-pesan itu, GG mengklaim bahwa ia menghubungi pejabat tinggi untuk melewati “koridor hijau” dan memfasilitasi ekstraksi.
“Pengetahuan dari kebocoran obrolan ini menyulitkan geng Basta hitam untuk sepenuhnya meninggalkan cara mereka beroperasi dan memulai RAAS baru dari awal tanpa referensi ke kegiatan mereka sebelumnya,” kata peneliti Trellix Jambul Tologonov dan John Fokker.
Di antara temuan penting lainnya termasuk –
- Kelompok ini kemungkinan memiliki dua kantor di Moskow
- Grup ini menggunakan chatgpt openai untuk menyusun huruf formal yang curang dalam bahasa Inggris, parafrase teks, menulis ulang malware berbasis C#dalam python, kode debugging, dan mengumpulkan data korban
- Beberapa anggota kelompok tumpang tindih dengan operasi ransomware lainnya seperti Rhysida dan Cactus
- Pengembang Pikabot adalah warga negara Ukraina yang menggunakan alias online Mecor (alias N3auxaxl) dan bahwa butuh basta hitam setahun untuk mengembangkan gangguan malware loader pos Qakbot
- Kelompok ini menyewa Darkgate dari Rastafareye dan menggunakan Lumma Stealer untuk mencuri kredensial serta malware tambahan
- Grup ini mengembangkan kerangka kerja perintah-dan-kontrol pasca-eksploitasi (C2) yang disebut pemutus untuk membangun kegigihan, menghindari deteksi, dan mempertahankan akses di seluruh sistem jaringan
- GG bekerja dengan Mecor di ransomware baru yang berasal dari kode sumber Conti, yang mengarah ke rilis prototipe yang ditulis dalam C, menunjukkan kemungkinan upaya rebranding
Pengembangan ini terjadi ketika Eclecticiq mengungkapkan karya Basta Black pada kerangka kerja yang meremehkan yang dijuluki brutal yang dirancang untuk melakukan pemindaian internet otomatis dan isian kredensial terhadap perangkat jaringan Edge, termasuk firewall yang banyak digunakan dan solusi VPN dalam jaringan perusahaan.
Ada bukti yang menunjukkan bahwa kru kejahatan dunia maya telah menggunakan platform berbasis PHP sejak 2023 untuk melakukan serangan kredensial skala besar dan serangan brute-force pada perangkat target, yang memungkinkan aktor ancaman untuk mendapatkan visibilitas ke dalam jaringan korban.
“Kerangka kerja yang brutal memungkinkan afiliasi Basta hitam untuk mengotomatisasi dan mengukur serangan ini, memperluas kumpulan korban mereka dan mempercepat monetisasi untuk mendorong operasi ransomware,” kata peneliti keamanan Arda Büyükkaya.
“Komunikasi internal mengungkapkan bahwa Black Basta telah banyak berinvestasi dalam kerangka kerja yang brutal, memungkinkan pemindaian internet yang cepat untuk peralatan jaringan tepi dan isian kredensial skala besar untuk menargetkan kata sandi yang lemah.”
