揭秘BlackBasta：勒索软件团伙泄露的内部操作与技术细节

BlackBasta泄露内容：罕见洞察勒索软件操作

2025年2月11日，一位化名为“ExploitWhispers”的个人泄露了涉及BlackBasta勒索软件团伙评估附属成员的Matrix聊天记录。本文分析了聊天记录的关键内容，并分享了基于这些发现的自定义检测规则。

泄露聊天记录的关键情报

泄露内容中的部分IP地址与已知威胁行为者“Water Barghest”相关联。该团伙的僵尸网络通过利用公开互联网扫描数据库中的漏洞，已入侵超过20,000台IoT设备，并将这些设备转换为代理。根据TrendMicro报告，其中部分IP地址也被高级持续性威胁（APT）组织和网络犯罪分子使用。

泄露聊天记录中可见3个由Hetzner托管的代理IP：

128.140.36[.]37;AS24940;Hetzner Online GmbH;Germany
157.90.166[.]88;AS24940;Hetzner Online GmbH;Germany
162.55.217[.]30;AS24940;Hetzner Online GmbH;Germany

从外部视角，Proofpoint于2023年11月下旬首次观察到该团伙的活动，识别出在钓鱼活动中使用Latrodectus恶意软件。该活动在2023年底至2024年1月减少，但在2024年3月再次加剧。

基础设施图

从内部视角，聊天记录显示@usernamegg在2023年底与团队分享了新签名的恶意软件样本，打包为drs1312_signed.zip文件。他们的目标是绕过防病毒和EDR解决方案，但遇到了一些限制。讨论包括逃避检测的策略，如滥用rundll32.exe加载恶意DLL或使用JavaScript和VBScript文件作为加载器。

到2024年3月，团队部署了新版本并在其基础设施内进行测试， notably使用avcheck[.]net评估恶意软件可检测性。到2024年6月，他们开始使用SOCKS代理进一步混淆操作。

他们经常从私人市场买卖凭据用于初始访问阶段。

关于凭据销售的讨论

根据@usernamegg分享的文章，可以通过团伙成员之间的消息识别一些与Darkgate和Pikabot活动相关的凭据和IP。

关于加载器的讨论

根据聊天记录，他们都有明确的角色，@usernamegg是领导者。

组织架构图

我们以中等置信度评估图4中的组织架构。更多背景信息，建议查看Flare提供的BlackBasta结构替代可视化表示[1]。

Tramp的身份由法国新闻网站LeMagIT根据其内部历史解释[2]。虽然观察到的基础设施可能由多个行为者共享，但也显示出与Proofpoint跟踪的TA577和TA578团伙的显著相关性。

我们以中等置信度评估TA577自2021年以来活跃，并显示出与泄露聊天记录中识别的指标多个相似之处，包括使用IP地址108.181.132[.]118的Cobalt Strike，以及部署Latrodectus和IcedID恶意软件——这些都与本分析早期观察到的模式一致。

TA578则与涉及SSLoad和Bumblebee恶意软件的僵尸网络操作密切相关——这些是更广泛僵尸网络生态系统的关键组成部分。如前所述，通过开放代理重用基础设施是附属成员和开发者的常见策略，进一步支持这些连接。

我们还观察到一些与Pikabot操作相关的活动，以及包含传递Pikabot的IP的基础设施。

Pikabot测试

还提到了使用属于proton66的IP和名为Brutus的工具，似乎是从“45.140.17[.]23”执行暴力破解任务的工具。

Brutus工具使用

BlackBasta的网络犯罪经济：策略和货币化技术

该团队提供与恶意软件开发和进攻性网络操作相关的广泛服务，主要驱动因素是经济利益。他们的产品包括FUD（完全不可检测）加载器、数字证书、初始访问代理、僵尸网络销售、预配置服务器设置和BlackBasta勒索软件部署。附属成员主要使用比特币、Tether和Monero等加密货币进行交易。

金融方案

为了在加密货币交易中逃避检测，该团伙遵循一系列操作安全实践，包括：

在将Monero转换为Tether时通过SOCKS代理定期更改IP地址。
创建多个加密货币钱包，每个都有独特的种子短语，以防止区块链分析工具聚类。
使用AMLbot评估比特币地址的风险评分——如果评分超过70-80%，则表示更可能触发反洗钱（AML）警报。为了降低评分，他们结合使用BitcoinBridge和混合器，有效混淆交易轨迹。
与高风险比特币（AML评分 above 80%）进行500美元的测试交易，以验证特定交易所是否会接受资金。

洗钱方案

内部政策和威胁行为者行为揭示

泄露聊天记录证实了关于目标选择的内部政策，这与LeMagIT的早期分析一致。值得注意的是，被称为“gg”或“Tramp”的个人此前被报道贿赂FSB和GRU特工以换取保护。然而，在他被捕后，他与当地当局的关系似乎发生了显著变化。

@usernamegg的指令

还可以注意到一些关于当地当局问题的讨论。

关于当地当局的讨论

最终评估：BlackBasta泄露对现代勒索软件策略的启示

基于泄露的JSON文件内容，Matrix聊天显示BlackBasta附属成员与僵尸网络生态系统保持深厚联系。这些勒索软件行为者利用的基础设施——如代理和虚拟私人服务器（VPS）——在公共和私人论坛上被广泛重用，支持从系统入侵到洗钱的一系列恶意活动。

虽然泄露者的身份和意图未知，但数据似乎不完整，记录截至2024年9月28日。尽管如此，泄露提供了对BlackBasta团伙操作策略、组织结构和货币化策略的宝贵洞察。对于技术防御者，附录包括一组基于我们分析的YARA规则，以协助威胁检测和缓解。

附录：YARA规则

Blackbasta_certutil_LOLBAS_usage

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


rule Blackbasta_certutil_LOLBAS_usage {
    meta:
        author = "Kudelski security"
        description = "This rule detect the usage of certutil.exe to Download and save executable to disk in the current folder."
        reference = "Blackbasta chat leaks"
        reference2 = "https://lolbas-project.github.io/lolbas/Binaries/Certutil/"
        reference3 = "https://www.linkedin.com/posts/cebrewer_update-to-the-blackbasta-post-activity-7298746761005711360-iRPc"
    strings:
        $executable = "certutil" nocase
        $argument = "-urlcache -split -f" nocase
        $url = "http://" nocase
        $urls = "https://" nocase
    condition:
        $executable and $argument and ($url or $urls)
}

Blackbasta_WMIC_LOLBAS_usage

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


rule Blackbasta_WMIC_LOLBAS_usage {
    meta:
        author = "Kudelski security"
        description = "This rule detects the usage of WMIC.exe to do a discovery of existing antiviral solutions within the current system, it has been found on a chat leak of Blackbasta ransomware."
        reference1 = "Blackbasta chat leaks"
        reference2 = "https://www.linkedin.com/posts/cebrewer_update-to-the-blackbasta-post-activity-7298746761005711360-iRPc"
        reference3 = "https://lolbas-project.github.io/lolbas/Binaries/Wmic/"
    strings:
        $executable = "WMIC" nocase
        $argument1 = "/Namespace" nocase
        $argument2 = "AntiVirusProduct" nocase
    condition:
        $executable and $argument1 and $argument2
}

（其他YARA规则类似，详细内容见原文）

摘要

工具、僵尸网络、恶意软件	详情	IOC’s
Pikabot	基础设施 (proxychains) + 提及	66.42.96[.]41 45.32.194[.]209 64.176.214[.]231
Darkgate	基础设施 + 提及	94.228.169[.]123 94.228.169[.]143 45.32.222[.]253 66.42.110[.]147 88.119.175[.]245
Latrodectus	基础设施 + 提及	128.140.36[.]37 157.90.166[.]88 128.140.36[.]37
Brutus	基础设施 + 提及	45.140.17[.]23 45.140.17[.]40 45.140.17[.]24

提供的服务截图

FUD加载器 + 证书
初始访问销售
僵尸网络销售
预配置服务器
BlackBasta勒索软件部署

来源

[1] https://www.predictagraph.com/graph/snapshot/4f519654-9c80-44fa-a68c-3eb5ea099c4a
[2] https://www.lemagit.fr/actualites/366619807/Ransomware-de-REvil-a-Black-Basta-que-sait-on-de-Tramp