Black Basta Ransomware gewinnt an Boden

Forscher der Sicherheitsfirma Cybereason veröffentlichten einen Bericht über einen neuen Ransomware-Stamm, der in den letzten Monaten in Umlauf gebracht wurde, aber bereits fast 50 Opfer in englischsprachigen Ländern, darunter den USA, dem Vereinigten Königreich, Australien und Neuseeland, erzielte.

Für diesen kometenhaften Aufstieg zur Schande brauchte die Ransomware-Gang Black Basta nur zwei Monate, was ihren Namen ins Rampenlicht der Sicherheitsforscher rückte.

Die Ransomware-Gang bietet die Ransomware Black Basta auf RaaS-Basis an. Das bösartige Tool wurde in Dark-Web-Foren unter Verwendung des typischen Ransomware-as-a-Service-Modells beworben, das einen Gewinnbeteiligungsplan für „Partner“ anbietet, die Angriffe mit der Ransomware durchführen.

Die von Black Basta verwendete Arbeitsweise ist diejenige, die auch die Mehrheit der Ransomware-Gangs anwendet – doppelte Erpressung, bestehend aus dem Sperren verschlüsselter Dateien und dem Exfiltrieren einiger von ihnen vor der Verschlüsselung, um sie als Erpressung zu verwenden und mit dem Durchsickern vertraulicher Informationen zu drohen.

Angriffe, die mit der Bereitstellung von Black Basta gipfelten, nutzten QBot, um Anmeldeinformationen von kompromittierten Systemen zu exfiltrieren und sich dann seitlich über das Netzwerk des Opfers zu bewegen, um die Ransomware schließlich auf so vielen Hosts wie möglich bereitzustellen. Die Ransomware hat auch eine Variante, die auf Linux-Systeme abzielt, insbesondere virtuelle ESXi-Instanzen, die auf Unternehmensservern bereitgestellt werden.

Sicherheitsforscher glauben, dass die Black-Basta-Gang aus ehemaligen Mitgliedern der Conti-Gang besteht, obwohl Conti dies bestreitet. Obwohl Conti sein Bestes tut, um die Welt glauben zu machen, dass es das Ransomware-Outfit nicht mehr gibt, glauben Forscher, dass, obwohl das Unternehmen, das Conti war, nicht mehr existiert, Fragmente des Teams in andere cyberkriminelle Banden eingezogen sind.