เปิดโปงแก๊ง Black Basta หลังข้อมูลแชทรั่วไหล 200,000 ข้อความ เผยรายชื่อสมาชิกและเหยื่อรายใหม่

ข้อมูลแชทภายในของกลุ่มแรนซัมแวร์ Black Basta รั่วไหลครั้งใหญ่ เผยให้เห็นรายชื่อสมาชิกคนสำคัญและเหยื่อที่ไม่เคยถูกเปิดเผยมาก่อน โดยข้อมูลที่รั่วไหลประกอบด้วยข้อความกว่า 200,000 ข้อความ ตั้งแต่วันที่ 18 กันยายน 2023 ถึง 28 กันยายน 2024 ถูกแชร์โดยผู้รั่วไหลที่ใช้นามแฝงว่า “ExploitWhispers” บน Telegram การรั่วไหลครั้งนี้เกิดขึ้นท่ามกลางความขัดแย้งภายในกลุ่ม หลังจากสมาชิกบางคนไม่ยอมส่งมอบเครื่องมือถอดรหัสให้กับเหยื่อ แม้จะได้รับเงินค่าไถ่แล้วก็ตาม

ข้อความที่รั่วไหลเผยให้เห็นสมาชิกคนสำคัญของกลุ่ม Black Basta รวมถึง “YY” และ “Lapa” ซึ่งเป็นผู้ดูแลระบบ และ “Cortes” ที่มีความเชื่อมโยงกับบอตเน็ต Qakbot นอกจากนี้ยังมีตัวละครสำคัญอย่าง “Trump” หรือที่รู้จักในชื่อ “AA” และ “GG” ซึ่งเชื่อว่าคือ Oleg Nefedovaka ผู้มีความเชื่อมโยงกับกลุ่มแรนซัมแวร์ Conti ที่ยุติการดำเนินการไปแล้ว ข้อมูลที่รั่วไหลยังแสดงให้เห็นการดำเนินงานของกลุ่ม รวมถึงเทมเพลตฟิชชิ่ง การใช้ช่องโหว่ และที่อยู่คริปโตเคอร์เรนซีที่เกี่ยวข้องกับการจ่ายค่าไถ่

ในบรรดาเป้าหมายที่ไม่เคยถูกรายงานมาก่อน มีทั้งบริษัทยานยนต์สัญชาติอเมริกัน Fisker ผู้ให้บริการเทคโนโลยีสุขภาพ Cerner Corp (ปัจจุบันเป็นของ Oracle) และบริษัทท่องเที่ยว Hotelplan จากสหราชอาณาจักร อย่างไรก็ตาม ยังไม่ชัดเจนว่าบริษัทเหล่านี้ถูกโจมตีสำเร็จหรือไม่ นอกจากนี้ยังพบว่ากลุ่มพยายามใช้ประโยชน์จากช่องโหว่ในอุปกรณ์เครือข่ายองค์กร รวมถึงซอฟต์แวร์ของ Citrix, Ivanti, Palo Alto Networks และ Fortinet อีกทั้งยังใช้ลิงก์ ZoomInfo กว่า 380 ลิงก์ในการวิจัยบริษัทเป้าหมาย

การรั่วไหลครั้งนี้เกิดจากการที่กลุ่มตัดสินใจโจมตีธนาคารในรัสเซีย ซึ่งถือเป็นการ “ข้ามเส้น” สำหรับผู้รั่วไหลข้อมูล Black Basta เป็นแก๊งแรนซัมแวร์ที่มีความเชื่อมโยงกับรัสเซียและมีชื่อเสียงจากการโจมตีโครงสร้างพื้นฐานสำคัญและธุรกิจทั่วโลก รวมถึงองค์กรด้านสุขภาพ Ascension ในสหรัฐฯ และบริษัทสาธารณูปโภค Southern Water ในสหราชอาณาจักร กลุ่มนี้กำลังถดถอยลงตั้งแต่ช่วงฤดูร้อนที่ผ่านมา เนื่องจากความขัดแย้งภายในและการรับรู้ว่ามัลแวร์ของพวกเขาล้าหลังกว่ากลุ่มใหญ่อื่นๆ

ที่มา: TechCrunch