Когда утечка данных превращается в мощный инструмент противодействия киберугрозам.
Компания Hudson Rock BlackBastaGPT — чат-бот, обученный на более чем миллионе утекших внутренних сообщений группировки Black Basta. Этот инструмент позволяет исследователям изучать операции банды, её финансовые стратегии и методы атак, используя естественные языковые запросы.
Разработка последовала , произошедшей 11 февраля 2025 года. В сеть попали чаты, содержащие 367 уникальных ссылок на организации-мишени, криптовалютные кошельки, фишинговые шаблоны и откровенные обсуждения участников группировки.
Информация была опубликована пользователем под псевдонимом ExploitWhispers, который утверждает, что действовал в отместку за атаки Black Basta на российские банки. В материалах зафиксированы внутренние конфликты участников, а также выявлены ключевые фигуры банды, включая предполагаемого лидера Олега Нефёдова (Trump) и администратора YY. Среди участников также оказался 17-летний подросток.
Кроме того, слив пролил свет на уязвимости, которыми активно пользовалась Black Basta. Среди них — брешь в продуктах Citrix, Ivanti и Fortinet, а также фишинговые схемы, маскирующиеся под поддержку IT-служб для распространения Cobalt Strike и SystemBC.
Чат-бот от Hudson Rock способен анализировать огромные массивы данных, позволяя исследователям формулировать сложные вопросы. Например, можно узнать, какие векторы первичного доступа использовала группировка или как рассчитывались суммы выкупа.
Согласно логам, Black Basta ориентировалась на информацию из ZoomInfo для оценки годовой прибыли жертв и подгоняла размер выкупа под их финансовые показатели. Анализ также выявил обсуждения схем отмывания денег, споры о распределении прибыли и детали атак с применением Qakbot, Cobalt Strike и нового инструмента Brute Ratel.
Помимо технических сведений, утечка зафиксировала саркастические комментарии членов банды, высмеивавших освещение своих атак в СМИ. Исследователи также смогли определить приоритетные цели преступников, среди которых оказались организации из сфер здравоохранения и финансов.
Утекшие данные подтверждают предупреждения ФБР и CISA о том, что Black Basta причастна к более чем 500 кибератакам, суммарный ущерб от которых превышает 100 миллионов долларов. Среди наиболее важных выводов:
Аналитики PRODAFT предупреждают, что опубликованные тактики и методы Black Basta могут быть переняты другими преступными группировками. В связи с этим организациям рекомендуется ужесточить контроль удалённого доступа, применять многофакторную аутентификацию и отслеживать индикаторы компрометации, такие как использование вредоносных файлов вроде «AntispamConnectUS.exe».
Запуск BlackBastaGPT меняет подход к киберразведке, позволяя заранее прогнозировать угрозы и адаптировать защитные меры, а не просто реагировать на атаки. Теперь угрозы можно изучать изнутри, превращая знания о преступниках в эффективный механизм противодействия.
Подробнее:
Компания Hudson Rock BlackBastaGPT — чат-бот, обученный на более чем миллионе утекших внутренних сообщений группировки Black Basta. Этот инструмент позволяет исследователям изучать операции банды, её финансовые стратегии и методы атак, используя естественные языковые запросы.
Разработка последовала , произошедшей 11 февраля 2025 года. В сеть попали чаты, содержащие 367 уникальных ссылок на организации-мишени, криптовалютные кошельки, фишинговые шаблоны и откровенные обсуждения участников группировки.
Информация была опубликована пользователем под псевдонимом ExploitWhispers, который утверждает, что действовал в отместку за атаки Black Basta на российские банки. В материалах зафиксированы внутренние конфликты участников, а также выявлены ключевые фигуры банды, включая предполагаемого лидера Олега Нефёдова (Trump) и администратора YY. Среди участников также оказался 17-летний подросток.
Кроме того, слив пролил свет на уязвимости, которыми активно пользовалась Black Basta. Среди них — брешь в продуктах Citrix, Ivanti и Fortinet, а также фишинговые схемы, маскирующиеся под поддержку IT-служб для распространения Cobalt Strike и SystemBC.
Чат-бот от Hudson Rock способен анализировать огромные массивы данных, позволяя исследователям формулировать сложные вопросы. Например, можно узнать, какие векторы первичного доступа использовала группировка или как рассчитывались суммы выкупа.
Согласно логам, Black Basta ориентировалась на информацию из ZoomInfo для оценки годовой прибыли жертв и подгоняла размер выкупа под их финансовые показатели. Анализ также выявил обсуждения схем отмывания денег, споры о распределении прибыли и детали атак с применением Qakbot, Cobalt Strike и нового инструмента Brute Ratel.
Помимо технических сведений, утечка зафиксировала саркастические комментарии членов банды, высмеивавших освещение своих атак в СМИ. Исследователи также смогли определить приоритетные цели преступников, среди которых оказались организации из сфер здравоохранения и финансов.
Утекшие данные подтверждают предупреждения ФБР и CISA о том, что Black Basta причастна к более чем 500 кибератакам, суммарный ущерб от которых превышает 100 миллионов долларов. Среди наиболее важных выводов:
- Группировка активно использовала уязвимые VPN, RDP и серверы ESXi, а разведка проводилась через 380+ ссылок на ZoomInfo.
- Помимо традиционных инструментов вроде Cobalt Strike, Black Basta тестировала новые методы обхода защиты.
- Внутренние обсуждения раскрыли схемы отмывания биткоинов и финансовые разногласия среди участников.
Аналитики PRODAFT предупреждают, что опубликованные тактики и методы Black Basta могут быть переняты другими преступными группировками. В связи с этим организациям рекомендуется ужесточить контроль удалённого доступа, применять многофакторную аутентификацию и отслеживать индикаторы компрометации, такие как использование вредоносных файлов вроде «AntispamConnectUS.exe».
Запуск BlackBastaGPT меняет подход к киберразведке, позволяя заранее прогнозировать угрозы и адаптировать защитные меры, а не просто реагировать на атаки. Теперь угрозы можно изучать изнутри, превращая знания о преступниках в эффективный механизм противодействия.
Подробнее:
