Μια νέα επιχείρηση ransomware με το όνομα Black Basta έχει στοχεύσει τουλάχιστον δώδεκα εταιρείες και ορισμένοι ερευνητές πιστεύουν ότι μπορεί να υπάρχει σύνδεση με την περιβόητη ομάδα Conti.
Η ύπαρξη του Black Basta ήρθε στο φως στα μέσα Απριλίου, αλλά οι ερευνητές του MalwareHunterTeam εντόπισαν ένα δείγμα που προφανώς συγκεντρώθηκε τον Φεβρουάριο.
Οι εγκληματίες του κυβερνοχώρου πίσω από το Black Basta χρησιμοποιούν κακόβουλο λογισμικό για την κρυπτογράφηση αρχείων σε παραβιασμένα συστήματα, προσθέτοντας την επέκταση .basta σε κρυπτογραφημένα αρχεία. Επιπλέον, όπως πολλές άλλες ομάδες ransomware, κλέβουν μεγάλες ποσότητες πληροφοριών από τα θύματα σε μια προσπάθεια να αυξήσουν τις πιθανότητές τους να πληρωθούν.
Η εταιρεία κυβερνοασφάλειας Minerva διεξήγαγε μια τεχνική ανάλυση του Black Basta ransomware και σημείωσε ότι το κακόβουλο λογισμικό απαιτεί δικαιώματα διαχειριστή για να λειτουργήσει. Οι ερευνητές της εταιρείας ανακάλυψαν ότι το κακόβουλο λογισμικό κλέβει την υπηρεσία Windows Fax για να παραμείνει στα μολυσμένα συστήματα.
Ο όμιλος Black Basta έχει καταχωρίσει περίπου δώδεκα εταιρείες στον ιστότοπό του, όπου κατονομάζει τα θύματα που αρνούνται να πληρώσουν. Ο κατάλογος των θυμάτων περιλαμβάνει την Αμερικανική Οδοντιατρική Ένωση και τον γερμανικό γίγαντα των ανεμογεννητριών Deutsche Windtechnik, η οποία πρόσφατα επιβεβαίωσε την παραβίαση, αλλά ισχυρίστηκε ότι οι ανεμογεννήτριές της δεν κινδύνευσαν ποτέ.
Οι χάκερ έχουν δημοσιεύσει περισσότερα από 100 Gb δεδομένων που φέρεται να έχουν κλαπεί από την Deutsche Windtechnik.
Το MalwareHunterTeam πιστεύει ότι η «συμμορία ransomware του Black Basta πρέπει να έχει κάποια σχέση με τον Conti». Αυτή η υπόθεση βασίζεται σε ομοιότητες μεταξύ των ιστότοπων διαρροής, των τοποθεσιών πληρωμών τους και του τρόπου με τον οποίο μιλάνε και συμπεριφέρονται οι υπάλληλοί τους «υποστήριξης». Άλλοι ερευνητές συμφωνούν ότι υπάρχουν ομοιότητες με τη λειτουργία Conti.
