Operacija Black Basta Ransomware-as-a-Service (RaaS) pojavila se u aprilu 2022. i odnela je mnoge žrtve visokog profila širom sveta, uključujući zdravstvene kompanije i državne firme.
Nepoznati "procurelac" je objavio ono za šta tvrdi da je arhiva internog ćaskanja na Matrix serveru koji je pripadao operaciji Black Basta.
Arhiva koja je procurila sadrži poruke razmenjene u internim sobama za ćaskanje Black Baste između 18. septembra 2023. i 28. septembra 2024. i sadrže širok spektar informacija, uključujući šablone za fišing i e-mail adrese na koje ih treba poslati, adrese kriptovaluta, kredencijale žrtava i taktike upada u žrtve.
Više o tome na Black Basta ransomware gang's internal chat logs leak online
Da vidimo šta ima u arhivi a vezano je za Srbiju...
Najzanimljiviji deo je možda ovaj gde se spominje potencijalno neuspeli upad u "Srbija gov", nisam siguran da je dalji tok poruke posle ovog "сербия gov зашел" vezan za istu temu, deluje da jeste ali ne mora da znači (EDIT: verovatno nije povezan). Dalje nisam našao nešto relevantno u konverzaciji ali je teško ispratiti o čemu se priča i nemam vremena trenutno da se udubim u ceo chat, pa ako otkrijem nešto novo ažuriraću pronalazak...
AŽURIRANO: u novom komentaru dole na ovu temu sam dodao indikacije da je u pitanju bio navodni pristup VPN-u Privredne Komore Srbije
Poruka koju je jedan akter u četu nazvao "линки для пдф" odnosno "linkovi za PDF" sadrži neke verovatno kompromitovane domaće sajtove koji su služili za fišing u ransomware kampanjama ove ekipe, ne nužno za žrtve u Srbiji nego po celom svetu:
25. septembra 2023 na ovoj /fil/ lokaciji je postojao falj :
Iako URL jeste u VirusTotal bazi, hash od samog fajla nema detekcije što može značiti da je nešto napravljeno ručno po narudžbini. XLL je Microsoft Excel add-in koji je nesumnjivo maliciozan i služi za dalje inficiranje računara na kojem se otvori. Više o tome kako se upotrebljavaju XLL za maliciozne svrhe: How Attackers Use XLL Malware to Infect Systems
Drugi spomenuti .RS linkovi su:
Koristili su RDWeb usluge sa kompromitovanim kredencijalama, među njima je bio i RDWeb domaće firme melany.rs
Takođe su često delili kompromitovane kredencijale, među njima su bili i neki domeni iz Srbije:
za vpn-rw.ha.rs ukupno 2 različite kompromitovane kredencijale
za iskra.gov.rs ukupno 3 različite kompromitovane kredencijale
za iskra.mfin.gov.rs ukupno 3 različite kompromitovane kredencijale
Još jedan spomen Srbije za koji nemam kontekst je ovaj:
Nepoznati "procurelac" je objavio ono za šta tvrdi da je arhiva internog ćaskanja na Matrix serveru koji je pripadao operaciji Black Basta.
Arhiva koja je procurila sadrži poruke razmenjene u internim sobama za ćaskanje Black Baste između 18. septembra 2023. i 28. septembra 2024. i sadrže širok spektar informacija, uključujući šablone za fišing i e-mail adrese na koje ih treba poslati, adrese kriptovaluta, kredencijale žrtava i taktike upada u žrtve.
Više o tome na Black Basta ransomware gang's internal chat logs leak online
Da vidimo šta ima u arhivi a vezano je za Srbiju...
Najzanimljiviji deo je možda ovaj gde se spominje potencijalno neuspeli upad u "Srbija gov", nisam siguran da je dalji tok poruke posle ovog "сербия gov зашел" vezan za istu temu, deluje da jeste ali ne mora da znači (EDIT: verovatno nije povezan). Dalje nisam našao nešto relevantno u konverzaciji ali je teško ispratiti o čemu se priča i nemam vremena trenutno da se udubim u ceo chat, pa ako otkrijem nešto novo ažuriraću pronalazak...
AŽURIRANO: u novom komentaru dole na ovu temu sam dodao indikacije da je u pitanju bio navodni pristup VPN-u Privredne Komore Srbije
Poruka koju je jedan akter u četu nazvao "линки для пдф" odnosno "linkovi za PDF" sadrži neke verovatno kompromitovane domaće sajtove koji su služili za fišing u ransomware kampanjama ove ekipe, ne nužno za žrtve u Srbiji nego po celom svetu:
Code:
https://gtf.rs/fil/
https://gtf.rs/mteu/25. septembra 2023 na ovoj /fil/ lokaciji je postojao falj :
Iako URL jeste u VirusTotal bazi, hash od samog fajla nema detekcije što može značiti da je nešto napravljeno ručno po narudžbini. XLL je Microsoft Excel add-in koji je nesumnjivo maliciozan i služi za dalje inficiranje računara na kojem se otvori. Više o tome kako se upotrebljavaju XLL za maliciozne svrhe: How Attackers Use XLL Malware to Infect Systems
Drugi spomenuti .RS linkovi su:
Code:
https://sorvss.org.rs/roqr/Quote:Activity related to DARKGATE - according to source Cluster25 - 1 year ago
This DOMAIN is used by DARKGATE. DarkGate, a Delphi-based malware categorized as a loader, sold on underground markets. It offers advanced features for maintaining control over infected systems. The author touts it as a unique and efficient loader in the cybercriminal market
Code:
https://claytarget.rs/cvw8un/Koristili su RDWeb usluge sa kompromitovanim kredencijalama, među njima je bio i RDWeb domaće firme melany.rs
Takođe su često delili kompromitovane kredencijale, među njima su bili i neki domeni iz Srbije:
za vpn-rw.ha.rs ukupno 2 različite kompromitovane kredencijale
za iskra.gov.rs ukupno 3 različite kompromitovane kredencijale
za iskra.mfin.gov.rs ukupno 3 različite kompromitovane kredencijale
Još jedan spomen Srbije za koji nemam kontekst je ovaj:
