Black Bastaランサムウェアグループの内部チャットログがリークされる

佐々山 Tacos

2025.02.21

Black Bastaランサムウェアグループの内部チャットログがリークされる

BleepingComputer – February 20, 2025

Black Bastaランサムウェアグループ内部でやり取りされたMatrixチャットのログとされるものが、「ExploitWhispers」と名乗る人物によってネット上にリークされたとの報道。このログのアーカイブファイルは、専用のTelegramチャンネルへアップロードされているという。かつてContiランサムウェアの内部通信がリークされた件との類似性を指摘する声もある。

ExploitWhispersがセキュリティ研究者なのか、グループへの不満を持つ内部メンバーなのかなど、その正体については何もわかっておらず、リークが行われた理由も不明。しかしサイバー脅威インテリジェンス企業のPRODAFTによれば、Black Bastaが行ったとされる最近の攻撃が関係しているという。ランサムウェアグループはロシアやCIS加盟国への攻撃を禁じていることが多いが、この攻撃ではロシアの銀行数行が標的になったとされている。またPRODAFTは、今年に入って以来、内部紛争が原因でBlack Bastaの活動がほぼ観測されていないことについても指摘。同社はさらに、オペレーターの中には被害者に有効な復号鍵を提供せずに身代金だけ巻き上げるという詐欺的行為を働く者もいると付け加えた。

今回ExploitWhispersがリークしたアーカイブには、2023年9月18日から2024年9月28日の期間にBlack Bastaの内部チャットルームでやり取りされたメッセージとされるものが含まれている。なおvx-undergroundによると、メッセージの件数は196,045件で、いずれもロシア語で書かれているそう。BleepingComputerが分析したところ、フィッシング用テンプレートおよびフィッシングメール、暗号資産アドレス、データドロップ、被害者の認証情報など、多様な情報がこれらのメッセージから読み取れたほか、これまでに報じられた同グループの戦術を裏付けるような情報も見つけ出すことができたという。また、メッセージ内にはZoomInfoのリンクが367件（重複なし）含まれていることもわかっている。ZoomInfoといえば、ランサムウェアグループが被害企業の概要・収益などの情報を共有する際によく使われるサイト。このことから、Black Bastaがこの期間内に攻撃した企業の数と上記のリンク件数とが一致している可能性は高いとされる。

ExploitWhispersはまた、Black Bastaランサムウェアグループのメンバーとされるアクターについて、以下のような情報も共有している（参考：@3xp0rtblog）。

Lapa：BlackBastaの主要な管理者の1人。改革を要求する上役から頻繁に叱責を受けているために重大なストレスを抱えているが、グループ内の他メンバーに比べて受領している報酬の額は少ないとされる。このため、ランサムウェアの身代金を家計を支えるための収入源としているそう。しかしLapaの統率のもとで複数のロシアの銀行のインフラに対するブルートフォース攻撃が行われたことが、大きな問題となる可能性があり、ロシアの法執行機関が何らかの反応を示すことも考えられるという。
Cortes：Qakbotグループとの結びつきがある脅威アクター。BlackBastaがロシアの銀行に対する攻撃を仕掛けた際、Cortesはこの動きから距離を置いていたとされる。これが、この攻撃にQakbotが参加しなかった理由である可能性が指摘されている。
YY：Lapaと同じく、BlackBastaのメインの管理者の1人。サポートタスクを担うのに多忙だが、良い報酬を得ているとされる。YYの統率下でも、ロシアの銀行複数行のインフラに対するブルートフォース攻撃が行われた模様。Lapaの場合と同様に、このことが大きな問題に発展し、ロシアの法執行機関が対応に乗り出す可能性があるとされる。
Trump（別称：GG、AA）：グループのリーダーOleg Nefedovakaと同一人物であるとされる。