Το Black Basta Ransomware κερδίζει έδαφος
Ερευνητές της εταιρείας ασφαλείας Cybereason δημοσίευσαν μια έκθεση για ένα νέο στέλεχος ransomware που κυκλοφόρησε τους τελευταίους μήνες, αλλά κατάφερε ήδη να σημειώσει σχεδόν 50 θύματα σε αγγλόφωνες χώρες, συμπεριλαμβανομένων των ΗΠΑ, του Ηνωμένου Βασιλείου, της Αυστραλίας και της Νέας Ζηλανδίας.
Αυτή η μετέωρη άνοδος στη δόξα οδήγησε τη συμμορία ransomware Black Basta μόλις δύο μήνες, που έφεραν το όνομά τους στο προσκήνιο των ερευνητών ασφαλείας.
Η συμμορία ransomware προσφέρει το Black Basta ransomware σε βάση RaaS. Το κακόβουλο εργαλείο διαφημίστηκε σε φόρουμ σκοτεινού ιστού χρησιμοποιώντας το τυπικό μοντέλο ransomware-as-a-service, προσφέροντας ένα σχέδιο κατανομής κερδών για "συνεργάτες" που πραγματοποιούν επιθέσεις χρησιμοποιώντας το ransomware.
Ο τρόπος λειτουργίας που χρησιμοποιεί ο Black Basta είναι αυτός που χρησιμοποιεί και η πλειονότητα των συμμοριών ransomware - διπλός εκβιασμός που συνίσταται στο κλείδωμα κρυπτογραφημένων αρχείων και στην εξαγωγή ορισμένων από αυτά πριν από την κρυπτογράφηση, για χρήση ως εκβιασμό και απειλή διαρροής ευαίσθητων πληροφοριών.
Οι επιθέσεις που κορυφώθηκαν με την ανάπτυξη του Black Basta χρησιμοποίησαν το QBot για να διεισδύσουν διαπιστευτήρια από παραβιασμένα συστήματα και στη συνέχεια να μετακινηθούν πλευρικά στο δίκτυο των θυμάτων για να αναπτύξουν τελικά το ransomware σε όσο το δυνατόν περισσότερους κεντρικούς υπολογιστές. Το ransomware έχει επίσης μια παραλλαγή που έχει σχεδιαστεί για να στοχεύει συστήματα Linux, ειδικά εικονικές παρουσίες ESXi που αναπτύσσονται σε εταιρικούς διακομιστές.
Οι ερευνητές ασφαλείας πιστεύουν ότι η συμμορία Black Basta αποτελείται από πρώην μέλη της συμμορίας Conti, παρόλο που ο Conti το αρνήθηκε. Παρόλο που η Conti κάνει ό,τι καλύτερο μπορεί για να κάνει τον κόσμο να πιστέψει ότι δεν υπάρχει πλέον η εξάρτηση ransomware, οι ερευνητές πιστεύουν ότι ενώ η οντότητα που ήταν η Conti μπορεί να μην υπάρχει πια, τμήματα της ομάδας μεταφέρθηκαν σε άλλες συμμορίες κυβερνοεγκληματιών.