据报道,在近两个月内,Black Basta 勒索软件即服务 (RaaS) 集团已在美国、加拿大、英国、澳大利亚和新西兰累计攻击了近 50 名受害者。
“Black Basta已被发现针对制造业、建筑业、运输业、电信公司、制药、化妆品、管道和供暖、汽车经销商、内衣制造商等行业,”Cybereason在一份报告中介绍。
与其他勒索软件操作类似,众所周知,Black Basta采用经过试验和测试的双重勒索策略来从目标中掠夺敏感信息,并威胁要发布被盗数据,除非进行数字支付。
作为勒索软件领域的新进入者,涉及威胁的入侵已经利用QBot(又名Qakbot)作为渠道,在通过网络横向移动并部署文件加密恶意软件之前,在受感染的主机上保持持久性并收集凭据。
此外,Black Basta已经开发了一种Linux变体,旨在打击在企业服务器上运行的VMware ESXi虚拟机(VM),使其与LockBit,Hive和Cheerscrypt等其他组相提并论。
据说Black Basta由属于Conti集团的成员组成,因为Conti集团关闭了业务,以应对执法审查的增加以及一次重大泄漏,在该国对乌克兰的战争中与俄罗斯站在一起后,其工具和策略进入了公共领域。
“我不能拍摄任何东西,但我可以用键盘和鼠标战斗,”泄密事件的乌克兰计算机专家以化名Danylo发布数据宝库作为数字报复的一种形式,于2022年3月告诉媒体。
此后,Conti团队反驳说它与Black Basta有关。上周,它停用了其剩余的面向公众的基础设施中的最后一个,包括两台用于泄露数据并与受害者进行谈判的Tor服务器,标志着犯罪活动的正式结束。
在此期间,该集团继续通过针对哥斯达黎加政府来维持积极行动的门面,而一些成员则过渡到其他勒索软件机构,该品牌进行了组织改革,使其退化为具有不同动机和商业模式的更小的子集团,从数据盗窃到作为独立分支机构工作。
根据Group-IB的一份全面报告,其活动详述,自2020年2月首次观察以来,Conti集团据信已经侵害了850多个实体,作为2021年11月17日至12月20日持续“闪电般”黑客狂欢的一部分,全球40多个组织受到损害。
这家总部位于新加坡的公司称之为“ARMattack”,入侵主要针对美国组织(37%),其次是德国(3%),瑞士(2%),阿联酋(2%),荷兰,西班牙,法国,捷克共和国,瑞典,丹麦和印度(各占1%)。
Conti历来瞄准的前五大行业是制造业(14%),房地产(11.1%),物流(8.2%),专业服务(7.1%)和贸易(5.5%),运营商特别挑出美国(58.4%),加拿大(7%),英国(6.6%),德国(5.8%),法国(3.9%)和意大利(3.1%)的公司。
“Conti增加的活动和数据泄漏表明,勒索软件不再是普通恶意软件开发人员之间的游戏,而是一个非法的RaaS行业,为全球数百名具有各种专业的网络犯罪分子提供就业机会,”Group-IB的Ivan Pisarev说。
“在这个行业中,Conti是一个臭名昭著的组织,实际上已经创建了一家’IT公司’,其目标是勒索大笔资金。很明显该集团将继续运营,无论是单独运营还是在其’附属’项目的帮助下。