Svart Basta Ransomware vinner mark

Forskare med säkerhetsföretaget Cybereason publicerade en rapport om en ny stam av ransomware som sattes i omlopp under de senaste månaderna men som redan lyckats få nästan 50 offer i engelsktalande länder, inklusive USA, Storbritannien, Australien och Nya Zeeland.

Denna meteoriska uppgång till skändning tog Black Basta ransomware-gänget bara två månader, vilket satte deras namn i säkerhetsforskarnas rampljus.

Ransomware-gänget erbjuder Black Basta ransomware på RaaS-basis. Det skadliga verktyget annonserades på mörka webbforum med den typiska ransomware-as-a-service-modellen, som erbjuder en vinstdelningsplan för "affiliates" som genomför attacker med ransomware.

Driftssättet som används av Black Basta är det som majoriteten av ransomware-gängen också använder - dubbel utpressning som består av att låsa in krypterade filer och exfiltrera några av dem innan kryptering, för att använda som utpressning och hot om läckor av känslig information.

Attacker som kulminerade med distributionen av Black Basta använde QBot för att exfiltrera autentiseringsuppgifter från komprometterade system, för att sedan flytta i sidled över offrets nätverk för att slutligen distribuera ransomware på så många värdar som möjligt. Ransomwaren har också en variant som är gjord för att rikta in sig på Linux-system, specifikt ESXi virtuella instanser utplacerade på företagsservrar.

Säkerhetsforskare tror att Black Basta-gänget består av tidigare Conti-gängmedlemmar, även om Conti förnekade detta. Även om Conti gör sitt bästa för att få världen att tro att ransomware-outfiten inte finns längre, tror forskare att medan enheten som var Conti kanske inte finns längre, flyttade fragment av teamet in i andra cyberkriminella gäng.