Inside the Leaks that Exposed the Hidden Infrastructure Behind a Ransomware Operation

การรั่วไหลครั้งใหญ่ของข้อมูลการสื่อสารภายในกลุ่มแรนซัมแวร์ BlackBasta และข้อมูลจากบริษัทรัสเซีย Media Land (ซึ่งทำหน้าที่เป็นผู้ให้บริการ Bulletproof Hosting ชื่อ Yalishanda) ได้เปิดเผยโครงสร้างพื้นฐานที่ซ่อนอยู่เบื้องหลังการปฏิบัติงานของ BlackBasta การรั่วไหลนี้เผยให้เห็นตัวตนที่แท้จริงของผู้บงการ เช่น Kirill Zatolokin (รู้จักกันในชื่อ Slim Shady) และรายละเอียดว่า Yalishanda ได้ให้บริการโฮสติ้งที่ยืดหยุ่นสำหรับเซิร์ฟเวอร์ควบคุมและสั่งการ (Command-and-Control), โครงสร้างพื้นฐานการขโมยข้อมูล และพอร์ทัลการชำระเงินของ BlackBasta สิ่งนี้นำไปสู่การคว่ำบาตรจากกระทรวงการคลังสหรัฐฯ และพันธมิตรต่อ Media Land, ผู้อำนวยการ Aleksandr Volosovik และ Kirill Zatolokin

Severity: วิกฤต

System Impact:

• โครงสร้างพื้นฐานการทำงานของแรนซัมแวร์ (เซิร์ฟเวอร์ Command-and-Control)
• โครงสร้างพื้นฐานการขโมยข้อมูล (Data Exfiltration Infrastructure)
• พอร์ทัลการชำระเงิน (Payment Portals)
• บริการ Bulletproof Hosting
• ศูนย์ข้อมูล (Data Centers)

Technical Attack Steps:

1. **การรั่วไหลภายใน (ก.พ. 2025):** บุคคลหนึ่ง (ExploitWhispers) ได้เผยแพร่ข้อมูลการสื่อสารภายใน (ไฟล์ JSON ประมาณ 200,000 ข้อความตั้งแต่ ก.ย. 2023 – ก.ย. 2024) ของกลุ่มแรนซัมแวร์ BlackBasta ซึ่งเปิดเผยตัวตนที่แท้จริง รวมถึง Kirill Zatolokin (Slim Shady)
2. **การรั่วไหลโครงสร้างพื้นฐาน (มี.ค. 2025):** ผู้ไม่ประสงค์ดีที่ไม่ระบุชื่อได้เผยแพร่ฐานข้อมูลที่เกี่ยวข้องกับ Media Land (บริษัทรัสเซีย) ซึ่งเปิดเผยการตั้งค่าเซิร์ฟเวอร์, บันทึกการซื้อของลูกค้า, ข้อมูลบัญชีผู้ใช้ และที่อยู่กระเป๋าเงินดิจิทัล
3. **การเชื่อมโยงถูกสร้างขึ้น:** นักวิเคราะห์เชื่อมโยง Media Land กับ Yalishanda ซึ่งเป็นผู้ให้บริการ Bulletproof Hosting และยืนยันบทบาทในการสนับสนุนกิจกรรมของ BlackBasta และอาชญากรไซเบอร์รายอื่นๆ
4. **การใช้ Bulletproof Hosting:** BlackBasta ใช้โครงสร้างพื้นฐานของ Yalishanda ในการโฮสต์เซิร์ฟเวอร์ประมาณ 200 เครื่อง เพื่อใช้เป็นเซิร์ฟเวอร์ควบคุมและสั่งการ, การขโมยข้อมูล และพอร์ทัลการชำระเงิน โดยใช้แบนด์วิดท์สูง (17-20 Gbps และมีแผนขยายเป็น 50 Gbps)
5. **การประสานงานทางเทคนิค:** Kirill Zatolokin (Slim Shady) ทำหน้าที่เป็นผู้ติดต่อทางเทคนิคหลักในการประสานงานความต้องการโครงสร้างพื้นฐานและให้การสนับสนุนระหว่าง BlackBasta และ Media Land
6. **มาตรการทางกฎหมาย:** จากข้อมูลที่รั่วไหล กระทรวงการคลังสหรัฐฯ (U.S. Department of the Treasury’s OFAC) ร่วมกับหน่วยงานในออสเตรเลียและสหราชอาณาจักร ได้กำหนดมาตรการคว่ำบาตรต่อ Media Land, Data Center Kirishi, Aleksandr Volosovik และ Kirill Zatolokin

Recommendations:

Short Term:

• องค์กรควรตรวจสอบผู้ให้บริการโฮสติ้งและผู้ให้บริการในห่วงโซ่อุปทานทันที เพื่อระบุการเชื่อมโยงที่เป็นไปได้กับบริการ Bulletproof Hosting ที่รู้จัก เช่น Yalishanda (Media Land)
• เพิ่มการตรวจสอบข่าวกรองภัยคุกคามสำหรับตัวบ่งชี้การบุกรุก (IOCs) ใหม่ๆ ที่เกี่ยวข้องกับ BlackBasta หรือโครงสร้างพื้นฐานที่ถูกเปิดเผย
• ดำเนินการตรวจสอบภายในช่องทางการสื่อสารและการจัดเก็บข้อมูลเพื่อลดความเสี่ยงของการรั่วไหลจากภายใน

Long Term:

• พัฒนากลยุทธ์การบริหารจัดการความเสี่ยงผู้ขาย (Vendor Risk Management) ที่ครอบคลุม เพื่อตรวจสอบผู้ให้บริการภายนอกทั้งหมดอย่างละเอียด โดยเฉพาะอย่างยิ่งผู้ที่จัดการโครงสร้างพื้นฐานที่สำคัญ
• ลงทุนในแพลตฟอร์มการวิเคราะห์ความปลอดภัยขั้นสูงและข่าวกรอง เพื่อตรวจจับและตอบสนองต่อการปฏิบัติงานของแรนซัมแวร์ที่ซับซ้อนและโครงสร้างพื้นฐานที่สนับสนุน
• เสริมสร้างการฝึกอบรมพนักงานเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความมั่นคงปลอดภัยไซเบอร์ รวมถึงการตระหนักถึงตัวบ่งชี้ภัยคุกคามจากภายในและโปรโตคอลการสื่อสารที่ปลอดภัย
• สนับสนุนและมีส่วนร่วมในความพยายามระหว่างประเทศในการขัดขวางและคว่ำบาตรผู้ให้บริการโครงสร้างพื้นฐานอาชญากรรมไซเบอร์ทั่วโลก

Source: https://cybersecuritynews.com/inside-the-leaks-that-exposed-the-hidden-infrastructure/