Набирающий силу киберпреступный синдикат «Black Basta» RaaS собрал около 50 жертв в США, Канаде, Великобритании, Австралии и Новой Зеландии в течение двух месяцев после своего появления, что делает его одной из самых заметных угрозой последнего времени.
«Атаки группировки Black Basta были замечены в различных отраслях, включая промышленное производство, строительство, транспорт, телекоммуникации, фармацевтику, косметику, коммунальное хозяйство, автомобильные дилеры, производители нижнего белья и другие» - сообщается в отчете Cybereason.
Подобно другим видам шифровальщиков, Black Basta использует проверенную тактику двойного вымогательства для кражи конфиденциальной информации и угрожает опубликовать украденные данные, если не будет произведена выплата выкупа.
Будучи новым участником и без того переполненного ландшафта угроз шифровальщиков, вторжения этой группы используют QBot (он же Qakbot) в качестве канала для поддержания устойчивости на скомпрометированных узлах и сбора учетных данных, а затем перемещаются по сети и развертывают шифрующую файлы вредоносную программу.
Кроме того, участники Black Basta разработали вариант под Linux, предназначенный для поражения виртуальных машин VMware ESXi, работающих на корпоративных серверах, что ставит его в один ряд с другими крупными группировками шифровальщиков, такими как LockBit, Hive и Cheerscrypt.
По данным исследователя безопасности Идо Коэна, в выходные киберпреступный синдикат добавил в список своих жертв американскую компанию Elbit Systems, производителя оборонных, аэрокосмических и защитных решений.
Считается, что Black Basta состоит из бывших членов группировки Conti после того, как последняя прекратила свою деятельность в ответ на усиление внимания со стороны правоохранительных органов и крупную утечку информации, в результате которой ее инструменты и тактика стали достоянием общественности.
«Я не могу стрелять, но я могу сражаться с помощью клавиатуры и мыши» - заявил CNN в марте 2022 года компьютерный специалист, стоящий за утечкой, под псевдонимом «Danylo», который выпустил сокровищницу данных в качестве формы цифрового возмездия.
С тех пор команда Conti опровергла информацию о том, что она связана с Black Basta. На прошлой неделе она вывела из эксплуатации последнюю оставшуюся публичную инфраструктуру, включая два сервера Tor, которые использовались для утечки данных и переговоров с жертвами, что ознаменовало официальный конец преступного предприятия.
В промежуточный период группа продолжала сохранять видимость активной деятельности, атаковав правительство Коста-Рики, в то время как некоторые ее члены перешли на работу в другие организации, занимающиеся распространением шифровальщиков, а сам бренд подвергся реорганизации, в результате которой он распался на более мелкие подгруппы с различными мотивами и бизнес-моделями - от кражи данных до работы в качестве независимых филиалов.
Согласно подробному отчету компании Group-IB, в котором подробно описывается деятельность группы Conti, считается, что с момента первого обнаружения в феврале 2020 года ее жертвой стали более 850 организаций, в том числе более 40 организаций по всему миру в рамках «молниеносной» хакерской атаки, продолжавшейся с 17 ноября по 20 декабря 2021 года.
Названные сингапурской компанией «ARMattack», вторжения были направлены в основном против американских организаций (37%), за которыми следуют Германия (3%), Швейцария (2%), ОАЭ (2%), Нидерланды, Испания, Франция, Чехия, Швеция, Дания и Индия (по 1%).
В первую пятерку отраслей, на которые исторически ориентировалась Conti, входили промышленное производство (14%), недвижимость (11,1%), логистика (8,2%), профессиональные сервисы (7,1%) и торговля (5,5%), причем операторы особо выделяют компании из США (58,4%), Канады (7%), Великобритании (6,6%), Германии (5,8%), Франции (3,9%) и Италии (3,1%).
«Возросшая активность Conti и утечка данных свидетельствуют о том, что шифровальщики - это уже не игра «рядовых» разработчиков вредоносного ПО, а целая нелегальная индустрия, которая дает работу сотням киберпреступников по всему миру с различной специализацией» - сообщил Иван Писарев из Group-IB.
«В этой индустрии Conti является известным игроком, который фактически создал «ИТ-компанию», целью которой является крупное вымогательство. Очевидно, что группировка продолжит свою деятельность либо самостоятельно, либо с помощью своих «дочерних» проектов».
Источник: https://thehackernews.com
