A fekete Basta Ransomware teret nyer

A Cybereason biztonsági cég kutatói jelentést tettek közzé a zsarolóprogramok egy új fajtájáról, amely az elmúlt hónapokban került forgalomba, de már majdnem 50 áldozatot számlál angol nyelvű országokban, köztük az Egyesült Államokban, az Egyesült Királyságban, Ausztráliában és Új-Zélandon.

Ez a hírhedt hírhedtségbe torkolló támadás mindössze két hónapig tartott a Black Basta ransomware bandának, amivel a nevük a biztonsági kutatók reflektorfényébe került.

A ransomware banda RaaS alapon kínálja a Black Basta ransomware-t. A rosszindulatú eszközt sötét internetes fórumokon reklámozták a tipikus ransomware-as-a-service modellt használva, és nyereségmegosztási tervet kínáltak a ransomware-t használó „leányvállalatok” számára.

A Black Basta működési módja az, amit a zsarolóprogram-bandák többsége is alkalmaz – kettős zsarolás, amely a titkosított fájlok zárolásából és némelyikük titkosítás előtti kiszűréséből áll, zsarolásként és érzékeny információk kiszivárogtatásával való fenyegetéssel.

A Black Basta telepítésével csúcsosodó támadások a QBot segítségével szivárogtatták ki a hitelesítő adatokat a feltört rendszerekből, majd oldalirányban áthaladtak az áldozat hálózatán, hogy végül a lehető legtöbb gazdagépen telepítsék a zsarolóvírust. A zsarolóprogramnak van egy olyan változata is, amely a Linux rendszereket célozza meg, különösen a vállalati szervereken telepített ESXi virtuális példányokat.

A biztonsági kutatók úgy vélik, hogy a Black Basta banda a Conti banda egykori tagjaiból áll, bár Conti ezt tagadta. Noha Conti mindent megtesz annak érdekében, hogy elhiggye a világgal, hogy a ransomware-felszerelés már nincs többé, a kutatók úgy gondolják, hogy bár a Conti entitás már nem létezik, a csapat töredékei más kiberbűnöző bandákba költöztek.