未知のリーカーが、Black Bastaランサムウェア作戦に属するMatrix内部チャットログのアーカイブと主張するものを公開した。
ExploitWhispersは、以前盗んだメッセージをMEGAファイル共有プラットフォームにアップロードした人物で、現在は削除されているが、専用のTelegramチャンネルにアップロードしている。
ExploitWhispersがギャングの内部チャットサーバーにアクセスしたセキュリティ研究者なのか、不満を持つメンバーなのかはまだ明らかになっていない。
彼らはこの動きの背後にある理由を共有することはありませんでしたが、サイバー脅威インテリジェンス会社PRODAFTは今日、リークは直接ロシアの銀行をターゲットにしたランサムウェアギャングの疑惑攻撃に起因する可能性があると述べた。
「我々の継続的な監視の一環として、BLACKBASTA (Vengeful Mantis)は内部抗争のため、今年の初めからほとんど活動していないことを確認しました。PRODAFTは、「BLACKBASTA(Vengeful Mantis)の運営者の一部は、機能的な復号化ツールを提供せずに身代金の支払いを集め、被害者を詐欺していました。
“2025年2月11日、大規模なリークによりBLACKBASTAの内部マトリックスのチャットログが暴露された。リーク者は、このグループがロシアの銀行を標的にしていたため、データを公開したと主張しています。このリークは以前のContiのリークと酷似している。”
流出したアーカイブには、2023年9月18日から2024年9月28日の間にBlack Bastaの内部チャットルームでやりとりされたメッセージが含まれている。
‘sがメッセージを分析したところ、フィッシングテンプレートや送信先メール、暗号通貨アドレス、データドロップ、被害者の認証情報、以前報告した手口の確認など、幅広い情報が含まれていることがわかった。
また、流出したチャットには、367のユニークなZoomInfoリンクが含まれており、この期間に標的とされたと思われる企業の数を示しています。ランサムウェアの集団は、一般的にZoomInfoサイトを使用して、標的となった企業に関する情報を社内または交渉中の被害者と共有します。
また、ExploitWhispersは、Lapa(作戦の管理者の一人)、Cortes(Qakbotグループに関連する脅威アクター)、YY(Black Bastaのメイン管理者)、およびTrump(別名GGおよびAA)を含むBlack Bastaランサムウェアギャングメンバーの一部に関する情報も共有しており、グループのボスであるOleg Nefedovakaであると考えられています。
Black Bastaとは何者か?
Black Basta Ransomware-as-a-Service (RaaS)作戦は2022年4月に出現し、ヘルスケア企業や政府請負業者など、世界中で多くの有名な被害者を出している。
被害者の中には、ドイツの防衛請負会社ラインメタル、現代自動車の欧州部門、BTグループ(旧ブリティッシュ・テレコム)、米医療大手アセンション、政府請負会社ABB、米国歯科医師会、英国の技術系アウトソーシング会社キャピタ、トロント公共図書館、イエローページ・カナダなどが含まれる。
CISAとFBIが昨年5月に発表した共同報告書で明らかにしたように、Black Bastaの関連会社は2022年4月から2024年5月の間に500以上の組織に侵入している。
Corvus InsuranceとEllipticの共同調査によると、このランサムウェア一味はまた、2023年11月までに90人以上の被害者から推定1億ドルの身代金の支払いを集めている。
また2022年2月には、ウクライナのセキュリティ研究者が、ロシアを拠点とする悪名高いサイバー犯罪組織Contiがウクライナの侵攻を受けてロシア側についた後、17万件以上の内部チャットの会話と Contiランサムウェア暗号化ソフトのソースコードをネット上に流出させた。
Comments