Sort Basta Ransomware vinder terræn

Forskere med sikkerhedsfirmaet Cybereason offentliggjorde en rapport om en ny stamme af ransomware, der blev sat i omløb i de seneste måneder, men som allerede nåede at score næsten 50 ofre i engelsktalende lande, herunder USA, Storbritannien, Australien og New Zealand.

Denne meteoriske stigning til skændsel tog Black Basta ransomware-banden kun to måneder, hvilket satte deres navn i sikkerhedsforskernes søgelys.

Ransomware-banden tilbyder Black Basta ransomware på RaaS-basis. Det ondsindede værktøj blev annonceret på mørke webfora ved hjælp af den typiske ransomware-as-a-service-model, der tilbyder en overskudsdelingsplan for "tilknyttede selskaber", der udfører angreb ved hjælp af ransomware.

Den funktionsmåde, der bruges af Black Basta, er den, som flertallet af ransomware-bander også anvender - dobbelt afpresning, der består i at låse krypterede filer og eksfiltrere nogle af dem før kryptering, for at bruge som afpresning og true med læk af følsom information.

Angreb, der kulminerede med implementeringen af Black Basta, brugte QBot til at eksfiltrere legitimationsoplysninger fra kompromitterede systemer, og derefter bevæge sig sideværts på tværs af offernetværket for i sidste ende at implementere ransomware på så mange værter som muligt. Ransomwaren har også en variant lavet til at målrette Linux-systemer, specifikt ESXi virtuelle instanser installeret på virksomhedsservere.

Sikkerhedsforskere mener, at Black Basta-banden består af tidligere Conti-bandemedlemmer, selvom Conti benægtede dette. Selvom Conti gør deres bedste for at få verden til at tro, at ransomware-tøjet ikke er mere, tror forskere, at selvom den enhed, der var Conti, måske ikke er mere, flyttede fragmenter af holdet ind i andre cyberkriminelle bander.