Ransomware Black Basta zyskuje popularność

Naukowcy z firmy Cybereason zajmującej się bezpieczeństwem opublikowali raport na temat nowego szczepu oprogramowania ransomware, który został wprowadzony do obiegu w ostatnich miesiącach, ale zdołał już zdobyć prawie 50 ofiar w krajach anglojęzycznych, w tym w Stanach Zjednoczonych, Wielkiej Brytanii, Australii i Nowej Zelandii.

Ten błyskawiczny wzrost do niesławy zabrał gangowi Black Basta ransomware zaledwie dwa miesiące, co sprawiło, że jego nazwa znalazła się w centrum uwagi badaczy bezpieczeństwa.

Gang oprogramowania ransomware oferuje oprogramowanie ransomware Black Basta na podstawie RaaS. Złośliwe narzędzie było reklamowane na forach dark webowych przy użyciu typowego modelu ransomware-as-a-service, oferując plan podziału zysków dla „partnerów”, którzy przeprowadzają ataki przy użyciu oprogramowania ransomware.

Tryb działania wykorzystywany przez Black Basta to ten, który stosuje również większość gangów ransomware - podwójne wymuszenie, polegające na blokowaniu zaszyfrowanych plików i eksfiltracji niektórych z nich przed zaszyfrowaniem, w celu wykorzystania ich jako szantażu i zagrożenia wyciekiem poufnych informacji.

Ataki, których kulminacją było wdrożenie Black Basta, wykorzystywały QBot do wydobycia poświadczeń z zaatakowanych systemów, a następnie przemieszczały się w bok przez sieć ofiary, aby ostatecznie wdrożyć oprogramowanie ransomware na jak największej liczbie hostów. Ransomware ma również wariant przeznaczony do atakowania systemów Linux, w szczególności wirtualnych instancji ESXi wdrożonych na serwerach korporacyjnych.

Badacze bezpieczeństwa uważają, że gang Black Basta składa się z byłych członków gangu Conti, chociaż Conti temu zaprzeczył. Chociaż Conti robi wszystko, co w ich mocy, aby świat uwierzył, że oprogramowanie ransomware już nie istnieje, naukowcy sądzą, że chociaż istota, która była Conti, może już nie istnieć, fragmenty zespołu przeniosły się do innych gangów cyberprzestępczych.