近日,Black Basta 恶意软件集团的聊天记录和论坛帖子泄露,为安全厂商提供了关于这个声名狼藉的网络犯罪团伙所使用的技术基础设施和手段的一些关键洞察。
在最新的季度威胁报告中,安全厂商 ReliaQuest 深入剖析了该恶意软件操作的内部运作机制,包括其勒索软件攻击所使用的技巧、工具和手段。
该报告详细介绍了该组织网络入侵的初始访问向量,以及特权提升和坚持工具、数据外泄和敲诈勒索方法,以及勒索软件部署工具。
在每个类别中,都使用了多种工具和方法,表明该团伙在入侵、数据外泄和套现过程的每个步骤中都有不止一种选择。ReliaQuest 团队告诉 SC 媒体,虽然调查没有发现任何新的或特别未知的内容,但它为他们提供了有关 Black Basta 运作方式的更详细和更广泛的概述。
报告还提供了有关日志泄露可能如何发生以及该组织事先知道什么的可能线索。
“最有趣的是,聊天记录泄露前不久,攻击就完全停止了,” 研究人员解释说,“这表明该组织内部可能出现分裂,或者他们暂时停工以重建信任并准备重新开展行动。”
Black Basta 调查是安全厂商在其季度报告中列出的众多发现之一,该报告涉及日历年度第一季度勒索软件攻击的状况。
Clop 宣称在 2025 年 Q1 几乎有 400 名受害者
同样值得注意的是,一个名为 Clop 的勒索软件组织的攻击激增。该组织在本季度宣布了创纪录的 389 名受害者,使其成为目前最活跃的勒索软件集团,并且与去年同一季度的活动相比,增加了 1400%。
据认为,Clop 攻击的激增源于该组织能够获得一个流行的托管文件传输工具的两个零日漏洞。
CVE-2024-50623 和 CVE-2024-55956 是 Cleo 中的两个漏洞,Cleo 是一个零售商用于处理交易、订单履行和供应链协调的电子商务平台。该工具作为管理在线店面运营的全栈解决方案,深受零售商欢迎。
ReliaQuest 团队告诉 SC 媒体,很可能该组织在去年年底能够在 Cleo 向客户部署漏洞补丁之前利用了这些漏洞。
“到 2025 年 2 月,大多数受影响的组织都被列在该组织的数据泄露网站上,” ReliaQuest 表示。
“勒索软件组织通常会推迟在他们的数据泄露网站上列出受影响的组织,以留出谈判和操作流程的时间。”
Clop 的巨大增长与另一个顶 级勒索软件集团 RansomHub 的略微下降形成了对比。研究人员记录了 2024 年 Q4 RansomHub 攻击活动下降了 1%。
这种下降部分归因于附属机构离开该集团。虽然表面上看起来是好事,但 ReliaQuest 警告说,这可能会产生长期影响,因为这些附属机构可能会将他们在 RansomHub 学到的技巧和方法带到其他勒索软件平台,这可能会使攻击更具威力,并使归因过程更加复杂。
