2025年BLACKBASTA勒索组织内部泄密事件分析报告 .docxVIP

BLACKBASTA勒索组织内部泄密事件分析报告

?、 事件背景 3

?、 组织背景 3

三、 泄露内容分析 4

3.1组织技战术 4

3.2组织情报分析 13

四、 针对本次事件的思考 15

4.1防御勒索攻击 15

4.2隐性?络战 15

4.3LLM辅助威胁分析 15

五、 安全建议 17

5.1“CT猎影”暗?威胁?险评估服务 17

5.2“CT孪?”勒索演练服务 17

六、 参考 18

2

BLACKBASTA勒索组织内部泄密事件分析报告

?、事件背景

2025年2?11?，勒索软件领域发?了?场轰动性事件——臭名昭著的BlackBasta组织内部聊天记录遭到泄露，近20万条俄语消息通过MEGA平台和Telegram频道被公之于众。这场泄露的起因可追溯?2024年年中，当时BlackBasta因攻击俄罗斯银??引发内部激烈冲突，最终导致该组织在2025年初陷?停滞。泄露的聊天记录时间跨度从2023年9?18??2024年9?28?，完整展现了该组织从?盛到内讧的全过程。这?事件不仅暴露了勒索团伙内部的脆弱性，也?次揭开了其运作模式和技术细节的神秘?纱。

绿盟科技M01N战队C威胁围猎?组长期对暗?威胁进?跟踪和预警，此次事件我们也快速进?了分析和研判，从该组织的起源，到泄露内容的深度剖析，再到事件背后的?业启?，我们将在本?中深?探讨，结合C?组前期狩猎情报数据，详细解读聊天记录中的关键线索，为读者全?呈现这场?络犯罪风暴的全貌。此外，绿盟科技C威胁情报?组针对企业?户提供?业独有的“CT猎影”暗?威胁风险评估服务和“CT孪?”勒索演练服务?案，读者可在?后进?了解。

时间

2022年4?-2024年

2024年中

2025年1?

2025年2?11?

事件

BlackBasta活跃，攻击全球500多个组织，采?双重勒索策略。

BlackBasta分?攻击俄罗斯银?，引发内部冲突，领导层决策受质疑。

因内部?盾加剧，组织活动减少，部分成员转投其他勒索软件团如Cactus。

聊天记录泄露，时间跨度为2023年9?18??2024年9?28?，泄密者为

ExploitWhispers。

?、组织背景

BlackBasta勒索组织（CTC-RAN-18）于2022年4??次现?，其起源被认为与Conti和REvil等知名勒索软件团伙密切相关，尤其是在Conti于2022年5?解散后，其成员可能重组并形成了BlackBasta。这?推测基于其战术、技术和程序（TTPs）与Conti和REvil的?度相似性，例如双重勒索策略和?标选择?式。BlackBasta采?Ransomware-as-a-Service（RaaS）模式运作，向附属?客提供恶意软件，??则负责谈判和赎?处理，这种模式使其能够迅速积累受害者并扩?影响?。

BlackBasta的攻击?法复杂且具有?度针对性，通常通过鱼叉式?络钓鱼电?邮件获取初始访问权限，随后使?PsExec等?具进?横向移动，并依赖Qakbot提升权限。其双重勒索策略不仅加密受害者的数据，还威胁在不?付赎?的情况下泄露数据，这种策略显著

3

BLACKBASTA勒索组织内部泄密事件分析报告

增加了受害者的压?。此外，BlackBasta还采?多种防御规避技术，使其攻击更加隐蔽且难以检测。

BlackBasta之所以备受关注，不仅因为其攻击的?泛性和复杂性，更因为其对关键基础设施的针对性攻击，尤其是医疗保健?业。?出现以来，BlackBasta已攻击全球超过500个组织，包括多个地区的政府机构、?融机构以及医疗系统。2024年5?，其对某?型医疗系统的攻击更是影响了数百家医院，导致电话和计算机系统离线，部分医院甚?取消了?紧急?术。这种对关键基础设施的攻击不仅对受害者造成直接的经济损失，还可能对公共安全和社会稳定产?深远影响。因此，BlackBasta的持续演变和活动使其成为?络安全领域的重?威胁，值得全球范围内的关注和防范。

三、泄露内容分析

3.1组织技战术

BlackBasta攻击组织展现出?度专业化、模块化的攻击能?，其技战术体系呈现出多层次、多维度的发展特征。该组织以勒索攻击为核??标，构建了从初始渗透到数据外传的完整攻击链条，其技术?段涵盖了窃密?令、漏洞利?、社会?程学等多个领域，形成了完整的攻击?态。

在技术层?，该组织持续演进其攻击?具链，从传统的CobaltStrike逐步向BRC4等新型C2?具迁移，同时积极采?商业化的PaaS（Packer-as-a-Service）服务进?载荷封装，以提升对抗检测的能?。在攻击策略上，该组织采?分阶段、模块化的攻击模式，通过投递器（Dropper）