Das Ransomware-as-a-Service (RaaS)-Syndikat Black Basta hat innerhalb von zwei Monaten nach seinem Erscheinen in freier Wildbahn fast 50 Opfer in den USA, Kanada, den Vereinigten Staaten, Australien und Neuseeland angehäuft, was es zu einem herausragenden Unternehmen macht Risiko in einem kurzen Fenster.
„Black Basta hat sich auf eine Reihe von Branchen konzentriert, darunter Fertigung, Entwicklung, Transport, Telekommunikation, verschreibungspflichtige Medikamente, Kosmetik, Sanitär und Heizung, Autoverkäufer, Unterwäschehersteller und mehr“, Cybereason sagte in einem Bericht.
Genau wie andere Ransomware-Operationen soll Black Basta die bewährte Taktik der doppelten Erpressung anwenden, um heikle Informationen von den Zielen zu plündern und mit der Veröffentlichung des gestohlenen Wissens zu drohen, sofern keine digitalen Kosten entstehen.
Ein brandneuer Teilnehmer innerhalb des bereits überfüllten Ransomware-Panoramas, bei dem Einbrüche das Risiko mit sich bringen Leveraged QBot (aka Qakbot) als Kanal, um sich um die Persistenz auf den kompromittierten Hosts zu kümmern und Anmeldeinformationen zu sammeln, bevor sie seitlich in die Community übertragen und die dateiverschlüsselnde Malware bereitstellen.
Darüber hinaus haben die Schauspieler hinter Black Basta aufgetreten eine Linux-Variante, die entwickelt wurde, um VMware ESXi Digital Machines (VMs) zu treffen, die auf Unternehmensservern arbeiten, und sie mit anderen Teams wie LockBit, Hive und Cheerscrypt gleichzusetzen.
Die Ergebnisse kommen, weil das cyberkriminelle Syndikat Elbit Techniques of America, einen Hersteller von Schutz-, Luft- und Raumfahrt- und Sicherheitsoptionen, am Wochenende in die Liste seiner Opfer aufgenommen hat. gemäß an den Sicherheitsforscher Ido Cohen.
Black Basta soll aus Mitgliedern bestehen, die dem angehören Conti-Gruppe nach letzterem hat seinen Betrieb eingestellt als Reaktion auf eine verstärkte Überprüfung der Gesetzgebung durch die Durchsetzung und ein schwerwiegendes Leck, bei dem festgestellt wurde, dass seine Instrumente und Techniken in die allgemeine Öffentlichkeit gelangten, nachdem sie sich im Konflikt der Nation mit der Ukraine auf die Seite Russlands gestellt hatten.
„Ich kann nicht auf etwas schießen, aber ich kann mit Tastatur und Maus kämpfen“, riet der ukrainische PC-Spezialist hinter dem Leak, der unter dem Pseudonym Danylo bekannt ist und den Wissensschatz als eine Art digitale Vergeltung ins Leben gerufen hat CNN im März 2022.
Die Conti-Mitarbeiter haben inzwischen widerlegt, dass es sich um Black Basta handelt. Letzte Woche, es stillgelegt Das letzte seiner verbleibenden öffentlich zugänglichen Infrastruktur, zusammen mit zwei Tor-Servern, die verwendet wurden, um Wissen preiszugeben und mit Opfern zu verhandeln, markiert den offiziellen Abschluss des Verbrechensunternehmens.
In der Zwischenzeit kümmerte sich die Gruppe weiterhin um die Fassade eines energischen Betriebes gegen die costa-ricanische Regierungwährend einige Mitglieder zu anderen Ransomware-Outfits wechselten und das Modell einer organisatorischen Überarbeitung unterzogen wurde, die dazu geführt hat, dass es sich in kleinere Untergruppen mit völlig unterschiedlichen Motivationen und Unternehmensmoden entwickelt hat, angefangen vom Wissensdiebstahl bis hin zur Arbeit als unvoreingenommene Mitarbeiter.
Basierend auf a umfassenden Bericht von Group-IB, die ihre Aktionen detailliert beschreibt, wird angenommen, dass die Conti-Gruppe mehr als 850 Unternehmen zum Opfer gefallen ist, da sie erstmals im Februar 2020 bemerkt wurde und über 40 Organisationen weltweit im Rahmen eines „blitzschnellen“ Hacker-Angriffs kompromittiert hat, der ab November andauerte 17. bis 20. Dezember 2021.
Synchronisiert „ARMangriff” der in Singapur ansässigen Firma richteten sich die Eingriffe in erster Linie gegen US-Organisationen (37 %), gefolgt von Deutschland (3 %), der Schweiz (2 %), den Vereinigten Arabischen Emiraten (2 %), den Niederlanden, Spanien, Frankreich, die Tschechische Republik, Schweden, Dänemark und Indien (jeweils 1 %).
Die Top-5-Sektoren, auf die sich Conti traditionell konzentriert, waren Fertigung (14 %), Immobilien (11,1 %), Logistik (8,2 %), Handwerksbetriebe (7,1 %) und Handel (5,5 %), wobei die Betreiber besonders Unternehmen hervorhoben in den USA (58,4 %), Kanada (7 %), den Vereinigten Staaten.Okay. (6,6 %), Deutschland (5,8 %), Frankreich (3,9 %) und Italien (3,1 %).
„Conti’s hohe Aktivität und das Informationsleck deuten darauf hin, dass Ransomware kein Sport zwischen gängigen Malware-Entwicklern ist, sondern ein gefälschter RaaS-Handel, der einer ganzen Reihe von Cyberkriminellen weltweit mit unterschiedlichen Spezialisierungen Arbeitsplätze bietet“, sagte Ivan Pisarev von Group-IB.
„Bei diesem Handel ist Conti ein berüchtigter Teilnehmer, der in Wahrheit eine ‚IT-Firma’ geschaffen hat, deren Ziel es ist, riesige Summen zu erpressen. Es ist klar […] dass die Gruppe ihre Tätigkeit sowohl allein als auch mit Unterstützung ihrer „untergeordneten“ Aufgaben fortsetzt.“