إحدى أكبر مجموعات الفدية وتسريب البيانات في العالم تتعرض لتسريب بياناتها
⬤ كشف تسريب ضخم لمحادثات داخلية أساليب عمل جماعة Black Basta وهويات أعضائها وضحاياها.
⬤ تشير تحليلات أمنية إلى أن التسريب قد يكون انتقاماً روسياً بعد استهداف الجماعة للمصارف الروسية.
⬤ تسبب التسريب باضطرابات داخلية وإغلاق موقع الجماعة على الإنترنت المظلم، مهدداً استمرار أنشطتها.
في ضربة مدوية لعالم الجريمة السيبرانية، انكشف الستار عن جماعة Black Basta، إحدى أخطر عصابات برمجيات الفدية، بعدما تم تسريب مجموعة ضخمة من محادثاتهم الداخلية، كاشفة عن أساليب عمل الجماعة وأفرادها البارزين وقائمة هائلة من الضحايا.
Leaked BlackBasta chat logs contain messages spanning from September 18, 2023, to September 28, 2024. Let's analyze the statements disclosed by the leaker:
– Lapa is one of the key administrators of BlackBasta and is constantly busy with administrative tasks. Holding this… https://t.co/KxQVKZBp75 pic.twitter.com/BibWU5P9e8— 3xp0rt (@3xp0rtblog) February 20, 2025
🔍 As part of our continuous monitoring, we've observed that BLACKBASTA (Vengeful Mantis) has been mostly inactive since the start of the year due to internal conflicts. Some of its operators scammed victims by collecting ransom payments without providing functional decryptors.…
— PRODAFT (@PRODAFT) February 20, 2025
نفذّت التسريب شخصية مجهولة تُدعى ExploitWhispers، ويحتوي على أكثر من 200 ألف رسالة متبادلة داخل غرف دردشة مشفرة عبر منصة Matrix بين سبتمبر 2023 وسبتمبر 2024. وقد جرى نشرت البيانات بادئ الأمر على منصة MEGA لمشاركة الملفات قبل أن تجد موطئ قدم لها على قناة متخصصة في تطبيق Telegram.
لا تزال دوافع التسريب غير واضحة، إذ تشير بعض التكهنات إلى أنه قد يكون بفعل عضو ساخط داخل الجماعة أو باحث أمني يسعى لكشف أنشطتهم. إلا أن فرضية أخرى، مدعومة بتحليلات شركة الأمن السيبراني PRODAFT، تربط التسريب باستهداف Black Basta للبنوك الروسية، وهو ما قد يكون سبباً رئيسياً في تسريب هذه البيانات.
في التفاصيل، أشارت PRODAFT إلى تصاعد الخلافات داخل Black Basta، حيث لوحظت فترة من الجمود في أنشطتها، إلى جانب تقارير تفيد بأن بعض الأعضاء اختلسوا أموال الفدية من الضحايا دون تسليم مفاتيح فك التشفير. ووفقاً لما ذكره ExploitWhispers، فقد تجاوزت الجماعة «الخط الأحمر» عندما استهدفت المصارف الروسية، وهو تصرف مشابه للذي أدى إلى تسريب بيانات جماعة Conti عام 2022. هذا التشابه بين التسريبين يعكس نمطاً متكرراً من الانقسامات الداخلية داخل العصابات الإلكترونية بسبب التوترات الجيوسياسية.
أكدت تحليلات الخبراء صحة التسريب، والذي احتوى على كم هائل من البيانات غير القانونية. وقد كشفت المحادثات المسربة تفاصيل دقيقة حول أساليب عمل Black Basta، بما في ذلك حملات التصيد الاحتيالي، ومعاملات العملات المشفرة، وبيانات الضحايا، وأساليب استخراج المعلومات. ووفقاً لأحد التحليلات، تضمنت المحادثات مئات الروابط من ZoomInfo، والتي استخدمت غالباً لجمع معلومات عن الضحايا المحتملين والتفاوض معهم.
علاوة على ذلك، سلطت التسريبات الضوء على شخصيات رئيسية داخل الجماعة. كاشفة عن شبكة متشعبة ومترابطة مع جماعات إجرامية أخرى. كما أظهرت المحادثات أن أحد أعضاء الجماعة قد لا يتجاوز 17 عاماً من العمر، مما يثير تساؤلات حول الفئة العمرية المنخرطة في هذه الأنشطة الإجرامية المعقدة.
منذ ظهورها في أبريل 2022، شنت Black Basta هجمات واسعة استهدفت قطاعات حساسة. وكان من بين أبرز ضحاياها مجموعة Rheinmetall الألمانية للصناعات الدفاعية، والفرع الأوروبي لشركة Hyundai، ومؤسسة Ascension للرعاية الصحية، وعملاق الخدمات الخارجية البريطاني Capita، وشركة Fisker لصناعة السيارات، وشركة السفر Hotelplan.
تبعاً لتقرير مشترك بين وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومكتب التحقيقات الفيدرالي (FBI) في الولايات المتحدة، تمكنت الجماعة من اختراق أكثر من 500 منظمة بين أبريل 2022 ومايو 2024. كما وحصدت ما يقرب من 100 مليون دولار من الفدية بحلول نوفمبر 2023، وفقاً لتحليلات Corvus Insurance وElliptic.
علاوة على ذلك، كشفت المحادثات أيضاً عن ترسانة Black Basta التقنية، حيث استغل أعضاؤها ثغرات أمنية في أجهزة الشبكات التابعة لشركات Citrix وIvanti وPalo Alto Networks وFortinet، مما سمح لهم باختراق الأنظمة المحصنة. كما أظهرت بعض الرسائل المسربة مخاوف داخلية من أنشطة إنفاذ القانون.
في ظل هذا التسريب غير المسبوق، يبدو أن موقع Black Basta على الإنترنت المظلم، والذي يُستخدم عادة لابتزاز الضحايا، أصبح غير متاح حالياً. وفي حين قد تكون هذه الضربة القاسية مجرد انتكاسة مؤقتة، لكنها قد تمثل أيضاً بداية انهيار واحدة من أخطر عصابات برامج الفدية في السنوات الأخيرة، ولربما مثلت سقوط حجر الدومينو الأول تمهيداً لتسلسل سقوط متتالع.
