Black Basta Ransomware wint terrein
Onderzoekers van beveiligingsbedrijf Cybereason publiceerden een rapport over een nieuwe vorm van ransomware die de afgelopen maanden in omloop is gebracht maar al bijna 50 slachtoffers wist te scoren in Engelstalige landen, waaronder de VS, het Verenigd Koninkrijk, Australië en Nieuw-Zeeland.
Deze snelle opkomst tot schande kostte de Black Basta ransomware-bende slechts twee maanden, waardoor hun naam in de schijnwerpers kwam te staan van beveiligingsonderzoekers.
De ransomwarebende biedt de Black Basta-ransomware aan op RaaS-basis. De kwaadaardige tool werd geadverteerd op darkwebforums met behulp van het typische ransomware-as-a-service-model, en bood een winstdelingsplan voor "affiliates" die aanvallen uitvoeren met behulp van de ransomware.
De werkwijze die Black Basta gebruikt is degene die ook de meeste ransomware-bendes gebruiken - dubbele afpersing, bestaande uit het vergrendelen van versleutelde bestanden en het exfiltreren van sommige ervan vóór versleuteling, om te gebruiken als chantage en het dreigen met lekken van gevoelige informatie.
Aanvallen die culmineerden in de implementatie van Black Basta, gebruikten QBot om inloggegevens van gecompromitteerde systemen te exfiltreren en vervolgens zijdelings over het slachtoffernetwerk te bewegen om de ransomware uiteindelijk op zoveel mogelijk hosts te implementeren. De ransomware heeft ook een variant die is gemaakt om zich op Linux-systemen te richten, met name virtuele ESXi-instanties die zijn geïmplementeerd op bedrijfsservers.
Beveiligingsonderzoekers geloven dat de Black Basta-bende bestaat uit voormalige Conti-bendeleden, hoewel Conti dit ontkende. Hoewel Conti zijn best doet om de wereld te laten geloven dat de ransomware-outfit niet meer bestaat, denken onderzoekers dat hoewel de entiteit die Conti was misschien niet meer bestaat, fragmenten van het team naar andere cybercriminele bendes zijn verhuisd.
