1、BLACKBASTA勒索组织内部泄密事件分析报告、事件背景 3、组织背景 3三、泄露内容分析 43.1 组织技战术 43.2 组织情报分析 13四、针对本次事件的思考 154.1 防御勒索攻击 154.2 隐性络战 154.3 LLM辅助威胁分析 15五、安全建议 175.1“CT猎影”暗威胁险评估服务 175.2“CT孪”勒索演练服务 17六、参考 182BLACKBASTA勒索组织内部泄密事件分析报告、事件背景 2025年211，勒索软件领域发了场轰动性事件臭名昭著的BlackBasta组织内部聊天记录遭到泄露，近20万条俄语消息通过MEGA平台和Telegram频道被公之于众。这场泄露的

2、起因可追溯2024年年中，当时BlackBasta因攻击俄罗斯银引发内部激烈冲突，最终导致该组织在2025年初陷停滞。泄露的聊天记录时间跨度从2023年9182024年928，完整展现了该组织从盛到内讧的全过程。这事件不仅暴露了勒索团伙内部的脆弱性，也次揭开了其运作模式和技术细节的神秘纱。绿盟科技M01N战队C威胁围猎组长期对暗威胁进跟踪和预警，此次事件我们也快速进了分析和研判，从该组织的起源，到泄露内容的深度剖析，再到事件背后的业启，我们将在本中深探讨，结合C组前期狩猎情报数据，详细解读聊天记录中的关键线索，为读者全呈现这场络犯罪风暴的全貌。此外，绿盟科技C威胁情报组针对企业户提供业独有的“

3、CT猎影”暗威胁风险评估服务和“CT孪”勒索演练服务案，读者可在后进了解。、组织背景 BlackBasta勒索组织（CTC-RAN-18）于2022年4次现，其起源被认为与Conti和REvil等知名勒索软件团伙密切相关，尤其是在Conti于2022年5解散后，其成员可能重组并形成了BlackBasta。这推测基于其战术、技术和程序（TTPs）与Conti和REvil的度相似性，例如双重勒索策略和标选择式。BlackBasta采Ransomware-as-a-Service（RaaS）模式运作，向附属客提供恶意软件，则负责谈判和赎处理，这种模式使其能够迅速积累受害者并扩影响。BlackBast

4、a的攻击法复杂且具有度针对性，通常通过鱼叉式络钓鱼电邮件获取初始访问权限，随后使PsExec等具进横向移动，并依赖Qakbot提升权限。其双重勒索策略不仅加密受害者的数据，还威胁在不付赎的情况下泄露数据，这种策略显著时间事件2022年4-2024年BlackBasta活跃，攻击全球500多个组织，采双重勒索策略。2024年中BlackBasta分攻击俄罗斯银，引发内部冲突，领导层决策受质疑。2025年1因内部盾加剧，组织活动减少，部分成员转投其他勒索软件团如Cactus。2025年211聊天记录泄露，时间跨度为2023年9182024年928，泄密者为ExploitWhispers。3BLAC

5、KBASTA勒索组织内部泄密事件分析报告增加了受害者的压。此外，BlackBasta还采多种防御规避技术，使其攻击更加隐蔽且难以检测。BlackBasta之所以备受关注，不仅因为其攻击的泛性和复杂性，更因为其对关键基础设施的针对性攻击，尤其是医疗保健业。出现以来，BlackBasta已攻击全球超过500个组织，包括多个地区的政府机构、融机构以及医疗系统。2024年5，其对某型医疗系统的攻击更是影响了数百家医院，导致电话和计算机系统离线，部分医院甚取消了紧急术。这种对关键基础设施的攻击不仅对受害者造成直接的经济损失，还可能对公共安全和社会稳定产深远影响。因此，BlackBasta的持续演变和活动

6、使其成为络安全领域的重威胁，值得全球范围内的关注和防范。三、泄露内容分析 3.1 组织技战术 BlackBasta攻击组织展现出度专业化、模块化的攻击能，其技战术体系呈现出多层次、多维度的发展特征。该组织以勒索攻击为核标，构建了从初始渗透到数据外传的完整攻击链条，其技术段涵盖了窃密令、漏洞利、社会程学等多个领域，形成了完整的攻击态。在技术层，该组织持续演进其攻击具链，从传统的Cobalt Strike逐步向BRC4等新型C2具迁移，同时积极采商业化的PaaS（Packer-as-a-Service）服务进载荷封装，以提升对抗检测的能。在攻击策略上，该组织采分阶段、模块化的攻击模式，通过投递器（