To Black Basta ransomware έχει γίνει μια σημαντική νέα απειλή μέσα σε μόλις δύο μήνες. Τα στοιχεία δείχνουν ότι βρισκόταν ακόμη σε ανάπτυξη τον Φεβρουάριο του 2022 και τέθηκε σε λειτουργία μόλις τον Απρίλιο του 2022. Από τότε, η ομάδα Black Basta έχει αναλάβει την ευθύνη για 36 θύματα σε αγγλόφωνες χώρες και ο αριθμός αυξάνεται.
Στις 20 Απριλίου 2022, ένας χρήστης με το όνομα BlackBasta ανακοίνωσε σε υπόγεια φόρουμ την πρόθεσή του να αγοράσει προσβάσεις στο εταιρικό δίκτυο για ένα μερίδιο των κερδών. Αυτό εξηγεί την ταχεία άνοδό του. Ερευνητές στο Cybereason ανέφεραν ότι έγινε γνωστό στις αρχές Ιουνίου ότι η νέα ομάδα Black Basta συνεργάστηκε με την QBot για τη διάδοση του ransomware της.
Μια συνεργασία με το QBot είναι μια φθαρμένη διαδρομή, με εγκληματικές ομάδες όπως οι MegaCortex, ProLock, DoppelPaymer, Conti και Egregor να έχουν κάνει όλες το ίδιο. “Το QBot έχει πολλές ενσωματωμένες δυνατότητες που είναι πολύ χρήσιμες για τους επιτιθέμενους”, λένε οι ερευνητές της Cybereason σε μια αναφορά. «Μερικοί από αυτούς συνήθιζαν να εκτελούν αναγνώριση, να συλλέγουν δεδομένα και διαπιστευτήρια, να κινούνται πλευρικά και να κατεβάζουν και να εκτελούν ωφέλιμα φορτία».
Η πρόταση είναι ότι ο Black Basta αντιγράφει τις τεχνικές των μεγάλων συμμοριών ransomware. Η ταχεία άνοδός του οδήγησε σε κάποιες εικασίες ότι δεν είναι η πρώτη τους φορά στην πίστα – με κάποιες προτάσεις ότι η συμμορία μπορεί να σχετίζεται με τον Conti. Υπάρχουν αρκετές ομοιότητες μεταξύ των δύο λειτουργιών, συμπεριλαμβανομένης της εμφάνισης του ιστότοπου Tor που διέρρευσε, του σημειώματος λύτρων, του ιστότοπου πληρωμής και της συμπεριφοράς της ομάδας υποστήριξης. Ο Conti το αρνήθηκε, λέγοντας: «Το BlackBasta δεν είναι συνέχεια, είναι… παιδιά».
Παρόλα αυτά, «το Black Basta πιθανότατα λειτουργεί από πρώην μέλη των εκλιπών συμμοριών Conti και REvil, των δύο πιο κερδοφόρων συμμοριών ransomware το 2021», σχολιάζει ο Lior Div, Διευθύνων Σύμβουλος και συνιδρυτής της Cybereason.
Όπως οι περισσότερες ομάδες που εκτελούν στοχευμένες επιθέσεις, η Black Basta χρησιμοποιεί τη στρατηγική του διπλού εκβιασμού. Είναι πολύ νωρίς για να γνωρίζουμε πόσο επιτυχής είναι να κερδίζει πληρωμές λύτρων, αλλά η ομάδα έχει θεωρηθεί ότι απαιτεί εκατομμύρια δολάρια ως αμοιβή λύτρων.
Η συμμαχία με το QBot εξοικονομεί χρόνο και προσπάθεια της ομάδας στις επιθέσεις της. Οι δυνατότητες του QBot μπορούν να χρησιμοποιηθούν για την εκτέλεση αναγνώρισης, τη συλλογή δεδομένων και διαπιστευτηρίων, την πλευρική κίνηση και τη λήψη και εκτέλεση ωφέλιμων φορτίων. Μόλις εισέλθει στο δίκτυο, το Black Basta στοχεύει τον ελεγκτή τομέα και μετακινείται πλευρικά χρησιμοποιώντας το PsExec. Σε παραβιασμένους DC, δημιουργεί ένα αντικείμενο πολιτικής ομάδας (GPO) για να απενεργοποιήσει το Windows Defender, ενώ προσπαθεί επίσης να καταργήσει τυχόν προϊόντα προστασίας από ιούς – μια τεχνική που χρησιμοποιείται επίσης από επιθέσεις QBot-Egregor.
Το τελικό στάδιο είναι η ανάπτυξη του ransomware σε στοχευμένα τελικά σημεία. Αυτό το κάνει με μια κωδικοποιημένη εντολή PowerShell που χρησιμοποιεί WMI για να ωθήσει το ωφέλιμο φορτίο στις επιλεγμένες διευθύνσεις IP. Μόλις εκτελεστεί, το ransomware διαγράφει τα εικονικά σκιώδη αντίγραφα και άλλα αρχεία αντιγράφων ασφαλείας πριν από την εκτέλεση της κρυπτογράφησης.
Αλλάζει την εικόνα φόντου της επιφάνειας εργασίας ώστε να περιλαμβάνει το μήνυμα, «το δίκτυό σας είναι κρυπτογραφημένο από την ομάδα Black Basta. Οδηγίες στο αρχείο readme.txt’. Αυτό είναι το σημείωμα λύτρων και ένα αντίγραφο πέφτει σε κάθε φάκελο. Το σημείωμα λύτρων είναι προσαρμοσμένο για κάθε διαφορετικό θύμα και περιλαμβάνει ένα μοναδικό αναγνωριστικό για το θύμα για χρήση στη συνομιλία διαπραγμάτευσης.
Στις αρχές Ιουνίου 2022, η Black Basta πρόσθεσε υποστήριξη για την κρυπτογράφηση εικονικών μηχανών VMware ESXi που εκτελούνται σε διακομιστές Linux για επιχειρήσεις. Αυτό συνδυάζεται με το κυνήγι μεγάλων παιχνιδιών των συμμοριών ransomware για στόχευση επιχειρήσεων. Επιτρέπει επίσης ταχύτερη κρυπτογράφηση πολλών διακομιστών με μία μόνο εντολή. Άλλες συμμορίες που κάνουν παρόμοια είναι οι LockBit, Hiveκαι Cheerscrypt.
Δεν είναι ακόμη γνωστά πολλά με βεβαιότητα για το Black Basta. Η συμμορία δεν έχει αρχίσει να εμπορεύεται τη λειτουργία της ούτε να στρατολογεί θυγατρικές σε φόρουμ hacking. Εάν αρχίσει να προσλαμβάνει τον κωδικό του, η απειλή θα αυξηθεί γρήγορα. Οι ερευνητές του Cybereason Nocturnus έχουν ήδη αξιολογήσει το επίπεδο απειλής ως ΥΨΗΛΟκαι ο αριθμός των θυμάτων εξακολουθεί να αυξάνεται.
Η αρχική ανάρτηση στο φόρουμ του BlackBasta που ήθελε να αγοράσει εταιρικές προσβάσεις ήταν γραμμένη στα ρωσικά, ενώ οι προσβάσεις που αναζητήθηκαν είναι για εταιρείες στις «Ηνωμένες Πολιτείες, τον Καναδά, το Ηνωμένο Βασίλειο, την Αυστραλία και τη Νέα Ζηλανδία». Το συμπέρασμα, που δεν δηλώθηκε από την Cybereason, είναι ότι είναι πιθανό να πρόκειται για μια ομάδα με τη ρωσική συμπάθεια ή μια ρωσική ομάδα που προσπαθεί να διασφαλίσει ότι δεν θα ενοχλήσει τις ρωσικές αρχές.