Lật tẩy chiến thuật 'dùng mỹ nhân kế' của băng đảng ransomware Black Basta: Để phụ nữ ra mặt điều dụ

Việc rò rỉ 190.000 tin nhắn trò chuyện được giao dịch giữa các thành viên của nhóm ransomware Black Basta cho thấy rằng nó có một tổ chức có cấu trúc cao và hầu hết hiệu quả với đội ngũ nhân viên có chuyên môn về các chuyên ngành khác nhau, bao gồm phát triển khai thác, tối ưu hóa cơ sở hạ tầng, kỹ thuật xã hội, v.v.

Kho hồ sơ lần đầu tiên được đăng lên trang chia sẻ tệp MEGA. Các tin nhắn được gửi từ tháng 9 năm 2023 đến tháng 9 năm 2024, sau đó đã được đăng lên Telegram Tháng Hai 2025. ExploitWhispers, nhân vật trực tuyến nhận trách nhiệm về vụ rò rỉ, cũng cung cấp bình luận và bối cảnh để hiểu các thông tin liên lạc. Danh tính của người hoặc những người đứng sau ExploitWhispers vẫn chưa được biết. Vụ rò rỉ tháng trước trùng hợp với sự cố ngừng hoạt động không giải thích được của trang Black Basta trên web đen, vẫn ngừng hoạt động kể từ đó.

“Chúng ta cần khai thác càng sớm càng tốt”

Các nhà nghiên cứu từ công ty bảo mật Trustwave’s SpiderLabs đã nghiền ngẫm các tin nhắn, được viết bằng tiếng Nga và xuất bản một bản tóm tắt tóm tắt blog và chi tiết hơn đánh giá của các tin nhắn vào thứ ba.

“Bộ dữ liệu làm sáng tỏ quy trình làm việc nội bộ, quy trình ra quyết định và động lực của nhóm của Black Basta, đưa ra góc nhìn chưa được lọc về cách một trong những nhóm ransomware hoạt động tích cực nhất hoạt động đằng sau hậu trường, tương đồng với vụ rò rỉ Conti khét tiếng, các nhà nghiên cứu viết. Họ đang đề cập đến a rò rỉ riêng của nhóm ransomware Conti vạch trần những người lao động càu nhàu về mức lương thấp, thời gian làm việc dài và những bất bình về sự hỗ trợ từ các nhà lãnh đạo Nga trong cuộc xâm lược Ukraine. “Trong khi tác động ngay lập tức của vụ rò rỉ vẫn chưa chắc chắn, việc tiếp xúc với các hoạt động bên trong của Black Basta đại diện cho một cơ hội hiếm có cho các chuyên gia an ninh mạng thích nghi và phản hồi.”

Một số TTPs—viết tắt của chiến thuật, kỹ thuật và thủ tục—Black Basta được sử dụng nhằm vào các phương pháp dành cho nhân viên kỹ thuật xã hội làm việc cho các nạn nhân tiềm năng bằng cách đóng giả quản trị viên CNTT đang cố gắng khắc phục sự cố hoặc ứng phó với các vi phạm giả mạo.

“Cô gái nên gọi cho đàn ông,” một người quản lý Black Basta đã hướng dẫn trong một tin nhắn trò chuyện. “Anh chàng nên gọi phụ nữ.” Lý do đằng sau quyết định này là để khai thác những thành kiến về lòng tin mà Black Basta tin rằng những công nhân mục tiêu có. Người quản lý tiếp tục cho biết nhân viên đã sàng lọc 500 người gọi tiềm năng cho nhiệm vụ này. “Cuối cùng chỉ có 2-3 người có năng lực và chúng tôi có một số người khác dự phòng. Một cô gái thực sự giỏi trong việc gọi điện, mỗi cuộc gọi thứ năm chuyển thành truy cập từ xa :).”

Các hoạt động kỹ thuật xã hội được phối hợp cẩn thận, trong đó các thành viên chia sẻ thông tin cập nhật theo thời gian thực trong tin nhắn trò chuyện và tinh chỉnh kịch bản cũng như thu hút tâm lý một cách nhanh chóng.

Kỹ thuật xã hội chỉ là một vũ khí trong kho vũ khí của Black Basta. Nhóm cũng tập trung nhiều vào việc bổ sung nguồn cung cấp các lỗ hổng có thể bị khai thác để giành quyền kiểm soát các mạng target’. Trong phạm vi tin nhắn kéo dài hàng năm, các thành viên đã thảo luận về hơn 60 lỗ hổng cụ thể bằng chỉ định theo dõi CVE của riêng họ. Khi các thành viên trong nhóm biết về một lỗ hổng nghiêm trọng trong ứng dụng máy chủ thư nguồn mở Exim—an với hơn 3,5 triệu lượt cài đặt trên Internet—one đã viết: “Chúng tôi cần khai thác càng sớm càng tốt.” Sau đó, thành viên đã cung cấp hướng dẫn dựa trên kinh nghiệm trước đó trong việc nhắm mục tiêu các máy chủ Microsoft Exchange.

Nhóm cũng sẵn sàng trả giá cao cho các hoạt động khai thác trong 0 ngày từ các nhà môi giới khai thác. Trong một trường hợp, một thành viên đã dán quảng cáo vào cuộc trò chuyện trong ngày 0 có mục đích cho phép thực thi mã từ xa trong tường lửa Juniper mà không cần xác thực. Thành viên viết: Người bán “muốn 200 nghìn đô la cho nó, nhưng tôi sẽ thương lượng,” có thể có nghĩa là 200.000 đô la. Một người ngang hàng trả lời, “Chà, 200k là một mức giá hợp lý cho một 0day.” Thành viên còn lại trả lời, “yep.”