Działalność Black Basta stała się głównym, nowym zagrożeniem w ciągu zaledwie kilku miesięcy. Dowody wskazują, że Cybergang w lutym 2022 r. nadal był w fazie rozwoju, a zaczął działać dopiero w kwietniu 2022 r. Od tego czasu grupa Black Basta przyznała się do skutecznego ataku na 36 ofiar w krajach anglojęzycznych, a liczba ta wciąż rośnie.
20 kwietnia 2022 r. użytkownik o niku BlackBasta ogłosił na podziemnych forach zamiar zakupu dostępu do sieci korporacyjnej w zamian za udział w zyskach. Ten fakt pomaga wyjaśnić szybki wzrost skutecznych ataków. Badacze z Cybereason poinformowali, że na początku czerwca okazało się, że nowa grupa- Black Basta nawiązała współpracę z operacją szkodliwego oprogramowania QBot w celu rozpowszechniania oprogramowania ransomware.
Partnerstwo QBot to wytarta ścieżka, a grupy przestępcze, w tym MegaCortex, ProLock, DoppelPaymer, Conti i Egregor, zrobiły to samo. „QBot ma wiele wbudowanych funkcji, które są bardzo przydatne dla atakujących”, mówią badacze Cybereason. „Niektóre z nich służyły do przeprowadzania rozpoznania, zbierania danych i danych uwierzytelniających, ruchu bocznego oraz pobierania i wykonywania ładunków”. O całym Kill Chain ataków pisaliśmy w kampanii tutaj.
Wydaje się, że Black Basta kopiuje techniki głównych gangów ransomware. Jego szybki wzrost doprowadził do spekulacji, że to nie jest ich pierwszy raz na parkiecie – z pewnymi sugestiami, że gang może być spokrewniony z Conti. Istnieje kilka podobieństw między tymi dwiema grupami, w tym pojawienie się wycieku strony Tor, żądanie okupu, strona płatności i zachowanie zespołu wsparcia. Conti temu zaprzeczył, mówiąc: „BlackBasta to nie Conti to… dzieci”.
Niemniej jednak „Black Basta prawdopodobnie jest zarządzany przez byłych członków nieistniejących już gangów Conti i REvil, dwóch najbardziej dochodowych gangów ransomware w 2021 r.” – komentuje Lior Div, dyrektor generalny i współzałożyciel Cybereason.
Podobnie jak większość grup przeprowadzających ataki ukierunkowane, Black Basta stosuje strategię podwójnego wymuszenia. Jest zbyt wcześnie, aby stwierdzić, jak skutecznie zdobywa okup, ale grupa domaga się milionów dolarów jako opłaty za odszyfrowanie.
Sojusz z QBotem oszczędza czas i wysiłek grupy. Możliwości QBot można wykorzystać do skutecznego ataku. Scenariusz wygląda najprawdopodobniej w następujący sposób. Po wejściu do sieci Black Basta obiera za cel kontroler domeny i porusza się na boki za pomocą PsExec. (o tym narzędziu na kapitanie hacku pisaliśmy wielokrotnie.
Na zaatakowanych kontrolerach domeny tworzy obiekt zasad grupy (GPO), aby wyłączyć program Windows Defender, jednocześnie próbując usunąć wszelkie produkty antywirusowe – technikę stosowaną również w atakach QBot-Egregor.
Ostatnim etapem jest wdrożenie oprogramowania ransomware na docelowych punktach końcowych. Odbywa się to za pomocą zakodowanego polecenia programu PowerShell, które używa usługi WMI do wypychania ładunku do wybranych adresów IP. Po uruchomieniu ransomware usuwa wirtualne kopie w tle i inne pliki kopii zapasowej przed wykonaniem szyfrowania.
Basta Ransomware zmienia obraz tła pulpitu, aby zawierał komunikat „Twoja sieć jest zaszyfrowana przez grupę Black Basta. Instrukcje w pliku readme.txt”. To jest żądanie okupu, a kopia jest upuszczana do każdego folderu. Notatka z żądaniem okupu jest dostosowana do każdej ofiary i zawiera unikalny identyfikator ofiary do wykorzystania na czacie negocjacyjnym.
Na początku czerwca 2022 firma Black Basta dodała obsługę szyfrowania maszyn wirtualnych VMware ESXi działających na korporacyjnych serwerach Linux. Wiąże się to z polowaniem na „grube ryby” przez gangi ransomware, które atakują przedsiębiorstwa. Umożliwia również szybsze szyfrowanie wielu serwerów za pomocą jednego polecenia. Inne gangi robiące podobne to LockBit, Hive i Cheerscrypt.
Niewiele jeszcze wiadomo na pewno o Black Basta. Gang nie zaczął reklamować swojej działalności ani rekrutować partnerów na forach hakerskich. Jeśli zacznie wynajmować swój kod, zagrożenie gwałtownie wzrośnie. Badacze Cybereasonu Nocturnus ocenili już poziom zagrożenia jako WYSOKI, a ofiar stale przybywa.
Pierwszy post na forum BlackBasta, w którm chciano kupić dostępy do firm, został napisany po rosyjsku, podczas gdy poszukiwane dostępy dotyczą firm z „USA, Kanady, Wielkiej Brytanii, Australii i Nowej Zelandii”. Implikacją, nie podaną przez Cybereason, jest to, że prawdopodobnie będzie to grupa sympatyzująca z Rosjanami lub rosyjska grupa starająca się upewnić, że nie zdenerwuje rosyjskich władz.