افشای شیوه‌های تأثیرگذاری گروه باج‌افزاری بلک باستا

افشای چت‌های گروه بلک باستا

افشای 190,000 پیام چت بین اعضای گروه باج‌افزاری بلک باستا نشان می‌دهد که این سازمانی بسیار ساختارمند و عمدتاً کارآمد است که توسط افرادی با تخصص‌های مختلف از جمله توسعه آسیب‌پذیری، بهینه‌سازی زیرساخت، مهندسی اجتماعی و غیره پر شده است.

جزئیات افشاگری

این مجموعه از سوابق ابتدا در سایت اشتراک‌گذاری فایل MEGA منتشر شد. پیام‌ها که از سپتامبر 2023 تا سپتامبر 2024 ارسال شده بودند، در فوریه 2025 به تلگرام منتقل شدند. کاربر آنلاین با نام ExploitWhispers که مسئولیت افشاگری را بر عهده داشت، همچنین توضیحات و زمینه‌ای برای درک ارتباطات ارائه داد. هویت شخص یا اشخاص پشت ExploitWhispers هنوز مشخص نیست. افشای ماه گذشته همزمان با قطع ناگهانی سایت بلک باستا در وب تاریک بود که از آن زمان همچنان غیرقابل دسترس باقی مانده است.

تاکتیک‌های بلک باستا

تحقیقات انجام شده توسط محققان شرکت امنیتی Trustwave’s SpiderLabs بر روی پیام‌ها که به زبان روسی نوشته شده بودند، خلاصه‌ای از بلاگ و بررسی مفصل‌تری از پیام‌ها را در روز سه‌شنبه منتشر کردند.

این مجموعه داده‌ها به روش‌های داخلی کار بلک باستا، فرآیندهای تصمیم‌گیری و دینامیک‌های تیمی روشنایی می‌اندازد و دیدگاهی بدون فیلتر از چگونگی عملکرد یکی از فعال‌ترین گروه‌های باج‌افزاری در پشت صحنه ارائه می‌دهد و به افشای معروف گروه Conti اشاره می‌کند.

تاکتیک‌های مهندسی اجتماعی

برخی از TTPs—مخفف تاکتیک‌ها، تکنیک‌ها و رویه‌ها—که بلک باستا استفاده کرده است، به روش‌هایی برای مهندسی اجتماعی کارمندان شرکت‌های هدف با نقش‌های مختلف اشاره دارد، به طوری که به عنوان مدیران IT ظاهر می‌شوند که در حال تلاش برای حل مشکلات یا پاسخ به نقض‌های جعلی هستند.

یکی از مدیران بلک باستا در یک پیام چت نوشت: "دختر باید به مردان زنگ بزند." او ادامه داد: "پسر باید به زنان زنگ بزند." دلیل این تصمیم، بهره‌برداری از سوگیری‌های اعتمادی بود که بلک باستا معتقد بود کارمندان هدف دارند. این مدیر گفت که کارمندان 500 تماس‌گیرنده احتمالی را برای این کار غربال کرده‌اند. "در نهایت فقط 2-3 نفر شایسته بودند و چند نفر دیگر به عنوان پشتیبان داریم. یک دختر واقعاً در تماس خوب است، هر پنجمین تماس به دسترسی از راه دور تبدیل می‌شود :)"

تأمین آسیب‌پذیری‌ها

عملیات‌های مهندسی اجتماعی به دقت هماهنگ شده بودند، به طوری که اعضا در زمان واقعی در پیام‌های چت به اشتراک‌گذاری به‌روزرسانی‌ها پرداخته و اسکریپت‌ها و طعمه‌های روانشناختی را در حین کار اصلاح می‌کردند.

مهندسی اجتماعی تنها یکی از سلاح‌های بلک باستا بود. این گروه همچنین به شدت بر تأمین آسیب‌پذیری‌هایی که می‌توانستند برای کنترل شبکه‌های هدف استفاده شوند، تمرکز داشتند. در طول یک سالی که پیام‌ها پوشش می‌دهند، اعضا بیش از 60 آسیب‌پذیری خاص را با شناسه‌های CVE خود مورد بحث قرار دادند. زمانی که اعضای گروه از یک آسیب‌پذیری بحرانی در Exim—یک برنامه سرور ایمیل منبع باز با بیش از 3.5 میلیون نصب در معرض اینترنت—آگاه شدند، یکی نوشت: "ما باید هرچه سریع‌تر بهره‌برداری کنیم." این عضو سپس راهنمایی‌هایی بر اساس تجربه قبلی خود در هدف قرار دادن سرورهای Microsoft Exchange ارائه داد.

پرداخت برای آسیب‌پذیری‌های روز صفر

این گروه همچنین حاضر بود قیمت‌های بالایی برای آسیب‌پذیری‌های روز صفر از دلالان آسیب‌پذیری پرداخت کند. در یک مورد، یکی از اعضا یک آگهی را در چت برای یک آسیب‌پذیری روز صفر که اجازه اجرای کد از راه دور در فایروال‌های Juniper را بدون نیاز به احراز هویت می‌دهد، کپی کرد. این عضو نوشت: "فروشنده 200 هزار دلار می‌خواهد، اما من مذاکره می‌کنم." یک همکار پاسخ داد: "خب، 200 هزار دلار قیمت عادلانه‌ای برای یک 0day است." عضو دیگر پاسخ داد: "بله."

مذاکرات با قربانیان

اعضا همچنین روش‌های مذاکره برای قیمت‌های باج با قربانیان، ناامیدی خود را زمانی که قربانیان از پرداخت یا پیشنهاد قیمت‌های بسیار پایین‌تر خودداری می‌کردند و در یک مورد، نگرانی‌های خود را درباره پیامدهای ناشی از اختلالی که برای Ascension، یک ارائه‌دهنده خدمات بهداشتی که کنترل داده‌های حساس تقریباً 5.6 میلیون فرد را در یک نقض در سال 2024 از دست داد، ایجاد کردند، مورد بحث قرار دادند.

محققان SpiderLabs نوشتند:

با توجه به نظارت شدید از سوی نهادهای اجرای قانون و سازمان‌های دولتی، آنها تصمیم گرفتند اقدامات خود را به شکلی استراتژیک‌تر چارچوب‌بندی کنند. به جای درخواست پرداخت برای رمزگشایی، آنها پیشنهاد کردند که سیستم‌های حیاتی را به عنوان "نشانه‌ای از حسن نیت" باز کنند و در عین حال درخواست‌های باج محکم برای داده‌های بیمار دزدیده شده را حفظ کنند. این رویکرد برای کاهش واکنش‌های احتمالی طراحی شده بود در حالی که هنوز جبران مالی را تأمین می‌کرد. سوابق چت تأیید می‌کند که مذاکرات با بیمارستان به‌ویژه چالش‌برانگیز بود. نمایندگان قربانی، احتمالاً با کمک شرکت‌های امنیت سایبری، در برابر درخواست‌ها مقاومت کردند و استدلال کردند که سازمان قبلاً خسارات مالی زیادی را متحمل شده و نمی‌تواند هزینه باج را پرداخت کند.

مهاجمان، با آگاهی از موارد قبلی باج‌افزاری در حوزه بهداشت و درمان، انتظار مقاومت شدید را داشتند اما در درخواست خود ثابت‌قدم ماندند و بر آسیب‌های reputational و جریمه‌های نظارتی که بیمارستان ممکن است در صورت افشای سوابق بیماران با آن مواجه شود، تأکید کردند. در یک نقطه، یکی از بازیگران درگیر در مذاکرات اشاره کرد که این حمله توجه زیادی از نهادهای دولتی مانند FBI و CISA را جلب کرده است. با وجود خطرات، آنها به فشار برای پرداخت ادامه دادند و در نهایت تصمیم به افشای بخش‌هایی از داده‌های دزدیده شده به عنوان یک تاکتیک فشار گرفتند. بحث‌های داخلی نشان می‌دهد که در حالی که برخی اعضا معتقد بودند که این می‌تواند یک توافق را مجبور کند، دیگران از این می‌ترسیدند که تشدید وضعیت ممکن است اقدامات تلافی‌جویانه شدیدی را تحریک کند، مانند آنچه در سرکوب‌های سایبری گذشته دیده شده است.

جزئیات این افشاگری می‌تواند برای مدافعانی که می‌خواهند شبکه‌ها و کارمندان خود را کمتر در معرض نقض و مهندسی اجتماعی قرار دهند و همچنین برای کسانی که به حملات پس از وقوع پاسخ می‌دهند، مفید باشد.