Sindikat ransomware-as-a-service (RaaS) Black Basta telah mengumpulkan hampir 50 korban di AS, Kanada, Inggris, Australia, dan Selandia Baru dalam waktu dua bulan sejak kemunculannya di alam liar, menjadikannya ancaman utama di jendela pendek.
“Black Basta telah diamati menargetkan berbagai industri, termasuk manufaktur, konstruksi, transportasi, telekomunikasi, farmasi, kosmetik, pipa dan pemanas, dealer mobil, produsen pakaian dalam, dan banyak lagi,” kata Cybereason dalam sebuah laporan.
Mirip dengan operasi ransomware lainnya, Black Basta dikenal menggunakan taktik pemerasan ganda yang telah dicoba dan diuji untuk menjarah informasi sensitif dari target dan mengancam untuk mempublikasikan data yang dicuri kecuali pembayaran digital dilakukan.
Sebagai pendatang baru di lanskap ransomware yang sudah ramai, intrusi yang melibatkan ancaman telah memanfaatkan QBot (alias Qakbot) sebagai saluran untuk mempertahankan kegigihan pada host yang disusupi dan mengumpulkan kredensial, sebelum bergerak secara lateral melintasi jaringan dan menyebarkan malware yang mengenkripsi file.
Selain itu, aktor di balik Black Basta telah mengembangkan varian Linux yang dirancang untuk menyerang mesin virtual (VM) VMware ESXi yang berjalan di server perusahaan, membuatnya setara dengan grup lain seperti LockBit, Hive, dan Cheerscrypt.
Temuan itu muncul ketika sindikat kejahatan dunia maya menambahkan Elbit Systems of America, produsen solusi pertahanan, kedirgantaraan, dan keamanan, ke daftar korbannya selama akhir pekan, menurut kepada peneliti keamanan Ido Cohen.
Black Basta dikatakan terdiri dari anggota yang termasuk dalam kelompok Conti setelah yang terakhir menutup operasinya sebagai tanggapan atas peningkatan pengawasan penegakan hukum dan kebocoran besar yang melihat alat dan taktiknya memasuki domain publik setelah berpihak pada Rusia dalam perang negara itu melawan Ukraina.
“Saya tidak bisa menembak apa pun, tetapi saya bisa bertarung dengan keyboard dan mouse,” spesialis komputer Ukraina di balik kebocoran tersebut, yang menggunakan nama samaran Danylo dan merilis harta karun berupa data sebagai bentuk pembalasan digital, kepada CNN pada Maret 2022. .
Tim Conti sejak itu membantah bahwa itu terkait dengan Black Basta. Pekan lalu, ia menonaktifkan infrastruktur terakhir yang menghadap publik, termasuk dua server Tor yang digunakan untuk membocorkan data dan bernegosiasi dengan korban, menandai akhir resmi dari perusahaan kriminal.
Untuk sementara, grup tersebut terus mempertahankan fasad operasi aktif dengan menargetkan pemerintah Kosta Rika, sementara beberapa anggota beralih ke pakaian ransomware lain dan merek tersebut mengalami perombakan organisasi yang membuatnya berkembang menjadi subkelompok yang lebih kecil dengan motivasi dan bisnis yang berbeda. model mulai dari pencurian data hingga bekerja sebagai afiliasi independen.
Menurut laporan komprehensif dari Group-IB yang merinci aktivitasnya, grup Conti diyakini telah menjadi korban lebih dari 850 entitas sejak pertama kali diamati pada Februari 2020, membahayakan lebih dari 40 organisasi di seluruh dunia sebagai bagian dari aksi peretasan “secepat kilat”. yang berlangsung dari 17 November hingga 20 Desember 2021.
Dijuluki “serangan ARM” oleh perusahaan yang bermarkas di Singapura, penyusupan terutama ditujukan terhadap organisasi AS (37%), diikuti oleh Jerman (3%), Swiss (2%), UEA (2%), Belanda, Spanyol, Prancis, Republik Ceko, Swedia, Denmark, dan India (masing-masing 1%).
Lima sektor teratas yang secara historis ditargetkan oleh Conti adalah manufaktur (14%), real estate (11,1%), logistik (8,2%), jasa profesional (7,1%), dan perdagangan (5,5%), dengan operator yang secara khusus memilih perusahaan di AS (58,4%), Kanada (7%), Inggris (6,6%), Jerman (5,8%), Prancis (3,9%), dan Italia (3,1%).
“Aktivitas Conti yang meningkat dan kebocoran data menunjukkan bahwa ransomware bukan lagi permainan antara pengembang malware rata-rata, tetapi industri RaaS terlarang yang memberi pekerjaan kepada ratusan penjahat dunia maya di seluruh dunia dengan berbagai spesialisasi,” kata Ivan Pisarev dari Group-IB.
“Dalam industri ini, Conti adalah pemain terkenal yang sebenarnya telah menciptakan ‘perusahaan IT’ yang tujuannya adalah untuk memeras dalam jumlah besar. Jelas […] bahwa grup tersebut akan melanjutkan operasinya, baik sendiri atau dengan bantuan proyek ‘anak perusahaannya’.”