En los últimos días un actor desconocido publicó los registros de chat de la banda cibercriminal en los que revelan tácticas, víctimas y conflictos internos.
Una reciente filtración ha expuesto información confidencial sobre Black Basta, una de las bandas de ransomware más activas en los últimos años.
Los registros de chat internos de la organización, obtenidos de la plataforma Matrix, han sido compartidos por un usuario desconocido llamado ExploitWhispers, quien primero los subió a la plataforma de intercambio de archivos MEGA, para posteriormente trasladarlos a un canal de Telegram.
El archivo filtrado, que abarca conversaciones desde el 18 de septiembre de 2023 hasta el 28 de septiembre de 2024, contiene datos sensibles como plantillas de phishing, direcciones de criptomonedas, credenciales de víctimas y detalles sobre las tácticas empleadas por la banda. Según analistas de medios especializados de ciberseguridad, los chats incluyen 367 enlaces únicos del motor de búsqueda comercial ZoomInfo, lo que podría indicar el número aproximado de empresas atacadas durante este período.
Algunos medios especializados sostienen que ExploitWhispers filtró los chats como represalia a los recientes ataques de Black Basta contra bancos rusos. Varios investigadores de seguridad dijeron que los chats parecen ser legítimos, según su correlación con eventos y hechos conocidos, y coinciden en que tras este suceso, el grupo parece estar cerca de colapsar
Además de tácticas de ataque, la filtración ha revelado información sobre algunos de los integrantes clave de Black Basta, entre ellos: Lapa, uno de los administradores de la operación.
Cortes, un actor vinculado al grupo Qakbot; YY, identificado como el administrador principal de Black Basta; y Trump (también conocido como GG y AA), quien se cree que es Oleg Nefedov, el supuesto líder del grupo.
Black Basta es una operación de Ransomware-as-a-Service (RaaS) que surgió en abril de 2022. Según un informe conjunto de CISA y el FBI, publicado en mayo de 2024, los afiliados de Black Basta han afectado a más de 500 organizaciones. Por su parte, una investigación de la aseguradora Corvus Insurance y Elliptic, reveló que la banda habría recaudado aproximadamente 100 millones de dólares en pagos de rescate de más de 90 víctimas hasta noviembre de 2023.
Este tipo de filtraciones no es nuevo en el mundo del cibercrimen. En febrero de 2022, un investigador de seguridad ucraniano filtró más de 170 mil conversaciones internas y el código fuente del cifrador ransomware Conti después de que dicho grupo respaldara públicamente a Rusia tras la invasión de Ucrania.
El reciente caso de Black Basta parece seguir un patrón similar, lo que sugiere que conflictos internos y disputas financieras dentro de los grupos de ransomware pueden ser una vulnerabilidad para su supervivencia.