گروه باجافزاری «بلک باستا» که به عنوان یکی از تهدیدات جدی امنیت سایبری شناخته میشود، در یک افشای بیسابقه، جزئیات داخلی عملیات خود را در معرض دید عموم قرار داده است. این افشاگری که شامل بیش از 200,000 پیام خصوصی میان اعضای گروه در یک سال اخیر است، نشاندهنده اطلاعات حساس و استراتژیهای مخفیانهای است که این گروه در عملیات خود به کار گرفته است.
منبع افشاگری و جزئیات اطلاعات
منبع افشاگری همچنان ناشناخته باقیمانده، اما این اطلاعات به طور غیرمستقیم توسط یک کاربر به نام «ExploitWhispers» در پلتفرم MEGA و سپس تلگرام منتشر شد. این فرد ادعا کرده است که اقدام به انتشار این اطلاعات به عنوان تلافی از حملات بلک باستا به بانکهای روسی انجام شده است. هنوز مشخص نیست که آیا افشاگر یک عضو داخلی گروه بوده یا فردی خارجی که به این اطلاعات دسترسی یافته است.
یکی از نکات قابل توجه در این افشاگری، آشکار شدن تنشهای داخلی در میان اعضای گروه است. به ویژه پس از دستگیری یکی از رهبران این گروه، نگرانیها در میان اعضا در مورد احتمال شناسایی و دستگیری آنها توسط مقامات قانونی افزایش یافته است. رهبر فعلی گروه که گفته میشود اولگ نفیدوف (Oleg Nefedov) است، تحت انتقاد شدید از سوی زیرمجموعههای خود قرار گرفته، به ویژه به دلیل تصمیماتی که گروه را در معرض خطر بیشتری قرار داده است، از جمله هدف قرار دادن یک بانک روسی.
روشهای حمله و ابزارهای مورد استفاده توسط بلک باستا
تحقیقات نشان داده است که گروه بلک باستا حملات خود را به طور معمول از طریق ایمیلهای فیشینگ با لینکهای مخرب آغاز میکند. این ایمیلها معمولاً حاوی فایلهای فشرده رمزگذاریشده هستند که در صورت باز شدن، تروجان Qakbot را نصب کرده و در نهایت دسترسی پشتی به شبکه قربانی فراهم میآورد. پس از نفوذ به شبکه، این گروه از ابزارهایی مانند Cobalt Strike برای شناسایی و استقرار ابزارهای اضافی در سراسر شبکههای آسیبدیده استفاده میکند.
یکی از ویژگیهای بارز حملات بلک باستا، استفاده از نرمافزارهای دسترسی از راه دور معتبر برای حفظ حضور خود در سیستمهای آسیبدیده است، در حالی که نرمافزارهای ضدویروس و سیستمهای شناسایی را غیرفعال میکنند. برای سرقت و استخراج دادهها، گروه از ابزارهایی مانند Mimikatz و Rclone استفاده میکند.
استراتژی باجگیری و هدفگذاری دقیق
در مرحله باجگیری، فایلهای رمزگذاریشده توسط بلک باستا با پسوند «.basta» مشخص میشوند. جالب توجه است که این گروه فوراً درخواست باج خود را مطرح نمیکند، بلکه به قربانیان فرصتی 10 تا 12 روزه برای برقراری تماس میدهد، در غیر این صورت دادههای دزدیدهشده را منتشر خواهد کرد. این گروه از تکنیکهای مهندسی اجتماعی نیز استفاده میکند، از جمله تماس تلفنی با کارکنان شرکتها برای برقراری ارتباط اولیه، روشی مشابه به روشهای دیگر گروههای سایبری مانند Scattered Spider.
یکی دیگر از نکات قابل توجه در این افشاگری، روشهای انتخاب هدف دقیق این گروه است. بلک باستا برای انتخاب اهداف خود از پلتفرمهای اطلاعات کسب و کار مانند ZoomInfo استفاده میکند و این نشاندهنده یک رویکرد محاسبهشده در عملیات آنها است.
در همین رابطه بخوانید:
– راهکارهای افزایش امنیت اطلاعات کامپیوتر + اشتباهات رایج
– آیندهای که برایش آماده نیستیم: هکرهای هوش مصنوعی
– نفوذ هکرهای چینی به وزارت خزانهداری آمریکا؛ بیش از 400 سیستم هک شد
تحلیلهای جدید با استفاده از «BlackBastaGPT»
با استفاده از این حجم عظیم اطلاعات افشا شده، شرکت امنیتی Hudson Rock تصمیم به تغذیه این پیامها به ابزار هوش مصنوعی ChatGPT گرفته است. نتیجه این کار، ایجاد یک منبع جدید به نام BlackBastaGPT است که به محققان کمک میکند تا عملیات گروه بلک باستا را به طور مؤثرتری تحلیل کنند و اطلاعات جدیدتری در مورد این گروه و روشهای فعالیت آن به دست آورند.
این افشاگری نه تنها اطلاعاتی تازه از شیوههای عملیات بلک باستا به دست میدهد، بلکه همچنین نشان میدهد که چطور گروههای باجافزاری در دنیای سایبری به طور فزایندهای پیچیده و خطرناک میشوند. این افشاگری میتواند به عنوان یک منبع مهم برای مقابله با تهدیدات سایبری آینده و درک بهتر از ساختار و روشهای گروههای مشابه مورد استفاده قرار گیرد.
