Urutan kekuasaan geng ransomware selalu bergeser dan berkembang, dengan kelompok -kelompok yang paling agresif dan sembrono menjaring pembayaran besar dari target yang rentan – tetapi sering pada akhirnya menyala. Kelompok berbahasa Rusia Black Basta adalah contoh terbaru dari tren yang terhenti dalam beberapa bulan terakhir karena pencopotan oleh penegak hukum dan kebocoran yang merusak. Tetapi setelah beberapa minggu yang tenang, para peneliti memperingatkan bahwa, jauh dari mati dan pergi, para aktor yang terlibat dengan Black Basta akan muncul kembali dalam kelompok -kelompok kejahatan dunia maya lainnya – atau berpotensi sudah – untuk memulai siklus sekali lagi.
Sejak muncul pada bulan April 2022, Black Basta telah menghasilkan ratusan juta dolar pembayaran Menargetkan berbagai korban perusahaan dalam perawatan kesehatan, infrastruktur kritis, dan industri berisiko tinggi lainnya. Kelompok ini menggunakan pemerasan ganda dengan target tekanan untuk membayar tebusan – menyegarkan data dan mengancam untuk membocorkannya sementara juga mengenkripsi sistem target untuk menyandera mereka. Badan Keamanan Cybersecurity dan Infrastruktur AS diperingatkan Tahun lalu Black Basta telah melakukan spree yang menargetkan lebih dari 500 organisasi di Amerika Utara, Eropa, dan Australia.
Penegakan hukum internasional utama menurunkan Pada tahun 2023 botnet “Qakbot” menghambat operasi Basta hitam. Dan, Februari ini, Kebocoran utama data internal grup—Mertakan log obrolan dan informasi operasional – mengguncang grup. Sejak itu, itu sudah tidak aktif. Namun, para peneliti memperingatkan bahwa para penjahat di balik Black Basta sudah bergerak dan hampir pasti akan melakukan kebangkitan.
“Kami belum melihat para pemimpin Black Basta Regroup, tetapi mereka akan terus bekerja, mereka akan terus beroperasi,” kata Allan Liska, seorang analis ancaman intelijen yang berfokus pada ransomware di perusahaan keamanan yang direkam di masa depan. “Masih terlalu banyak uang di dalamnya untuk tidak. Dan aktor ransomware adalah makhluk kebiasaan seperti siapa pun.”
Kebocoran itu mengungkapkan rincian tentang malware dan kemampuan teknis Black Basta, pertengkaran internalnya, dan petunjuk tentang identitas para aktor di belakang kelompok, khususnya administrator utamanya. Data yang terpapar adalah dari apa yang dianggap sebagai masa kejayaan Black Basta, September 2023 hingga September 2024. Selama periode ini, kelompok itu tidak menghindar dari kemungkinan menyebabkan kerusakan dengan pelanggarannya. Serangan yang sangat agresif tahun lalu di Jaringan Perawatan Kesehatan yang berbasis di St. Louis, misalnya, dilaporkan disebabkan gangguan dalam perawatan, termasuk ambulans yang dialihkan.
Black Basta berjuang untuk mempertahankan momentumnya, setelah penghapusan Qakbot 2023, yang dikenal sebagai Operation Duck Hunt.
“Itu adalah pukulan besar bagi mereka, dan mereka berusaha untuk bangkit kembali-menggunakan botnet lain, mengerjakan botnet khusus, tetapi itu tidak benar-benar berhasil, dan pada akhirnya tingkat infeksi mereka menurun,” kata Yelisey Bohuslavskiy, kepala petugas peneliti dari perusahaan ancaman-intelijen Redsense. “Mereka memiliki lebih sedikit target dan masuk ke jaringan yang lebih sedikit. Mereka masih berbahaya, tetapi ada perasaan bahwa ada kerusakan yang terjadi.”
Bahkan dalam penurunan ini, ada bukti bahwa Black Basta sedang mencoba untuk meningkatkan kebangkitan. Selain mengeksplorasi malware baru, geng mulai fokus pada kompromi target melalui rekayasa sosial dan pengaruh kampanye, khususnya operasi email spam dan penipuan dukungan teknis. Tetapi setelah kebocoran, Bohuslavskiy mengatakan, anggota mulai pindah ke kelompok lain dan telah mendukung geng baru mereka.
Seperti industri mana pun, lanskap penjahat dunia maya Rusia penuh dengan orang -orang yang telah bekerja bersama atau berkompetisi satu sama lain selama bertahun -tahun. Black Basta mampu memantapkan dirinya begitu cepat karena banyak anggotanya terlibat dengan operasi penjahat cyber sebelumnya, termasuk geng penjahat cyber lama Conti. Conti adalah kelompok yang terkenal karena yang lain kebocoran internal insiden pada tahun 2022 yang mengeksposnya pekerjaan batin Dan ikatan dengan Kremlin. Setelah kematian Conti, para peneliti Melacak anggotanya saat mereka bubar dan memulai kelompok peretasan baru, termasuk Black Basta.
Sementara Black Basta tidak unik dalam taktik dan metodenya, para peneliti mengatakan bahwa kelompok ini patut diperhatikan karena keterampilan teknis dan kedalaman pengalaman kejahatan dunia maya, yang memungkinkannya Dorong amplop Pada pendekatan yang dapat diambil oleh grup ransomware.
“Orang -orang di belakang Black Basta telah berada di banyak jaringan dan memiliki banyak pengalaman,” kata Liska dari Recorder Future. “Mereka bukan kelompok yang paling produktif, tetapi saya pikir mereka adalah salah satu kelompok yang lebih berbahaya karena mereka sangat terampil.”
Kebocoran Februari terungkap, misalnya, Basta Hitam itu mengembangkan alat Untuk secara otomatis menyusupkan perangkat jaringan seperti router yang memiliki kata sandi yang mudah ditebak. Mengotomatisasi alat untuk menebak kata sandi bukanlah kemampuan inovatif, tetapi itu adalah jenis proyek yang tidak akan dipikirkan oleh banyak kelompok ransomware atau memiliki kapasitas untuk mengembangkan in-house.
Di sebuah laporan Pekan lalu menganalisis Black Basta Communications yang bocor, para peneliti dari perusahaan keamanan Trustwave menulis, “Pesan -pesan itu menunjukkan bagaimana anggota menunjukkan otonomi dan kreativitas yang luar biasa, beradaptasi dengan cepat untuk mengembangkan lanskap keamanan.”
Black Basta Leak adalah cache 200.000 pesan dan data lain yang tampaknya diambil dari server obrolan matriks grup, BestFlowers247.online, oleh pengguna “ExploitWispers.” Trove menyertakan teks Communications’s Communications Plus Time Stamps, pengirim dan detail penerima, dan metadata lainnya. Identitas dan motivasi “ExploitWhispers” tidak diketahui, tetapi mereka mengklaim telah membocorkan data karena Black Basta diduga menyerang bank -bank Rusia, melanggar aturan tidak tertulis yang dapat dilakukan oleh penjahat cyber yang bisa dilakukan oleh penjahat cyber beroperasi di Rusia dengan impunitas selama mereka tidak menyerang organisasi Rusia.
Sementara paparan yang datang dengan kebocoran adalah lonceng kematian bagi Black Basta sebagai kelompok, itu lebih mungkin menjadi kemunduran daripada kekalahan permanen bagi para anggotanya.
“Kami belum melihat para pemimpin Black Basta Regroup, tetapi mereka akan terus bekerja, mereka akan terus beroperasi,” kata Liska dari Future’s Liska. “Masih terlalu banyak uang di dalamnya untuk tidak. Dan aktor ransomware adalah makhluk kebiasaan seperti siapa pun.”
Bohuslavskiy Redsense menambahkan bahwa ia telah melihat tanda -tanda anggota Basta hitam muncul di geng aktif lainnya, termasuk “Blacksuit,” “Inc,” “Lynx,” “Cactus,” dan “Nokoyawa.”
“Sekarang setelah Black Basta selesai, banyak orang telah bermigrasi, dan ada sejumlah kelompok ransomware lainnya yang mendapatkan infus bakat Basta hitam,” kata Bohuslavskiy.
