Black Basta Ransomware gagne du terrain

Des chercheurs de la société de sécurité Cybereason ont publié un rapport sur une nouvelle souche de ransomware qui a été mise en circulation ces derniers mois mais a déjà réussi à faire près de 50 victimes dans des pays anglophones, dont les États-Unis, le Royaume-Uni, l'Australie et la Nouvelle-Zélande.

Cette ascension fulgurante vers l'infamie n'a pris que deux mois au gang du rançongiciel Black Basta, ce qui a mis son nom sous les projecteurs des chercheurs en sécurité.

Le gang des ransomwares propose le ransomware Black Basta sur une base RaaS. L'outil malveillant a été annoncé sur des forums Web sombres en utilisant le modèle typique de ransomware en tant que service, offrant un plan de partage des bénéfices pour les "affiliés" qui lancent des attaques à l'aide du ransomware.

Le mode de fonctionnement utilisé par Black Basta est celui que la majorité des gangs de rançongiciels emploient également - la double extorsion consistant à verrouiller des fichiers cryptés et à exfiltrer certains d'entre eux avant le cryptage, pour les utiliser comme chantage et menacer les fuites d'informations sensibles.

Les attaques culminant avec le déploiement de Black Basta ont utilisé QBot pour exfiltrer les informations d'identification des systèmes compromis, puis se déplacer latéralement sur le réseau victime pour finalement déployer le ransomware sur autant d'hôtes que possible. Le ransomware a également une variante conçue pour cibler les systèmes Linux, en particulier les instances virtuelles ESXi déployées sur les serveurs d'entreprise.

Les chercheurs en sécurité pensent que le gang Black Basta est composé d'anciens membres du gang Conti, même si Conti l'a nié. Même si Conti fait de son mieux pour faire croire au monde que l'équipe de rançongiciels n'est plus, les chercheurs pensent que si l'entité qui était Conti n'est peut-être plus, des fragments de l'équipe se sont déplacés vers d'autres gangs cybercriminels.