Een nieuwe hackersgroep genaamd 'Black Basta' timmert hard aan de weg. In de tweede week van april maakte de groep zijn eerste slachtoffer. In de daarop volgende week vielen meerdere bedrijven ten prooi aan de ransomware-aanvallen van Black Basta.
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| TÜV NORD GROUP | Black Basta | www.tuev-nord.de | Germany |
| Plauen Stahl Technologie GmbH | Black Basta | www.plauen-stahl.de | Germany |
| Oralia | Black Basta | oralia.fr | France |
| Boswell Engineering | Black Basta | www.boswellengineering.com | USA |
| LECHLER S.p.A. | Black Basta | www.lechler.eu | Italy |
| Laiteries Reunies Societe cooperative | Black Basta | lrgg.ch | Switzerland |
| IMA Schelling Group | Black Basta | www.imaschelling.com | Germany |
| LACKS | Black Basta | www.lacks.com | USA |
| Basler Versicherungen | Black Basta | www.basler.de | Germany |
| Deutsche Windtechnik | Black Basta | www.deutsche-windtechnik.de | Germany |
Volgens de techsite Bleepingcomputer is er vrij weinig bekend over Black Basta. Ze maken bijvoorbeeld geen reclame voor hun aanvallen en rekruteren ook geen hackers of andere medewerkers via populaire hacking fora. Het gebrek aan publiciteit betekent echter niet dat de hackersgroep niet of minder actief is dan andere groeperingen.
Werkwijze Black Basta
De werkwijze van Black Basta is vergelijkbaar met die van andere hackerscollectieven. De groep gebruikt gijzelsoftware om de computersystemen van hun slachtoffers binnen te dringen. Eenmaal binnen stelen ze bedrijfsgevoelige en vertrouwelijke informatie en documenten. Vervolgens plaatsen ze alle bestanden achter slot en grendel met ransomware.
Om hun losgeld zo snel mogelijk op te strijken, voert Black Basta de druk op bij slachtoffers. De groep dreigt alle buitgemaakte gegevens openbaar te maken, tenzij de gedupeerde losgeld betaalt om publicatie te voorkomen. Om hun woorden kracht bij te zetten, publiceert de hackersgroep steeds meer gestolen data. Dit doen de hackers net zolang totdat het slachtoffer betaalt. Dit noemen we ook wel double extortion.
Leak sites Darkweb
Black Basta heeft verschillende webpagina’s op het darkweb, zoals de Black Basta Blog en Basta News. Deze sites zijn alleen via de webbrowser Tor toegankelijk. Daar vindt je niet alleen een lijst met slachtoffers, maar vaak ook een sample van de gegevens die de hackersgroep gestolen heeft.
Als de gijzelsoftware van Black Basta eenmaal een systeem heeft geïnfecteerd, worden alle bestanden afgeschermd. Deze bestanden zijn te herkennen aan een icoontje met de extensie .basta. In een tekstbestand staat een URL en login ID die naar een helpdesk leidt. Via deze Chat Black Baste kunnen slachtoffers onderhandelen over de hoogte van het losgeld. De hackers beloven een beveiligingsrapport op te stellen nadat het losgeld is betaald.
Rebranding Conti
BleepingComputer denkt dat Black Basta een rebranding is van een ervaren hackersgroep. MalwareHunterTeam wijst via Twitter op de overeenkomsten met Conti. Zo hebben de websites van de groep de look and feel van Conti en is de manier waarop de helpdesk communiceert met slachtoffers nagenoeg hetzelfde. Door onder een andere naam te opereren, hopen de hackers de opsporingsinstanties op een dwaalspoor te zetten.
So this Black Basta ransomware gang must have something to do with Conti:
— MalwareHunterTeam (@malwrhunterteam) April 27, 2022
- The leak site feels to much similar to Conti's.
- The payment site is some too.
- How their support people talking is also basically same.
- How they/their support people behaves also reminds me of Conti.
Conti was volgens beveiligingsonderzoekers vorig jaar verantwoordelijk voor 13 procent van alle wereldwijde ransomware-aanvallen. Ook hier in Nederland zijn er recentelijk slachtoffers gevallen. De groep zit naar verluidt achter de cyberaanval op meerdere woningcorporaties. De hackersgroep eist 15 miljoen euro aan losgeld.
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: malwrhunterteam, bleepingcomputer.com, vpngids.nl
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer ransomware nieuws
MalasLocker Ransomware: Een Nieuwe Bedreiging Eist Donaties voor Goede Doelen
Click here or click 'CHOOSE LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
"4 van de 5 organisaties vertrouwen op hun voorbereiding tegen ransomware-aanvallen, maar toch betaalt de helft losgeld bij incidenten"
Click here or click 'CHOOSE LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Onderzoek: 87% van Benelux-organisaties getroffen door ransomware in 2022
Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Gemiddeld 56 dagen tussen eerste ransomware-infectie en daadwerkelijke ransomware-aanval
First click here and then choose your language with the Google translate bar at the top of this page ↑
Nederlandse bedrijven blijven ver achter bij andere landen in weerbaarheid tegen ransomware-aanvallen
First click here and then choose your language with the Google translate bar at the top of this page ↑
Pijnlijke klap voor cybercriminelen van Deadbolt
First click here and then choose your language with the Google translate bar at the top of this page ↑
Slechts 30 procent van de bestuurders uit het midden- en kleinbedrijf zien cybercrime als een groot risico voor de organisatie
English | Français | Deutsche | Español | Finland | Meer talen
Helft Nederlandse organisaties te maken gehad met ketenpartner getroffen door ransomware-aanval
English | Français | Deutsche | Español | Finland | Meer talen
“Veel cybercriminelen richten zich juist op kleine bedrijven in een poging om zo toegang te krijgen tot grotere organisaties”
English | Français | Deutsche | Español | Finland | Meer talen
Afgelopen zes maanden is het aantal ransomware-varianten verdubbeld
English | Français | Deutsche | Español | Finland | Meer talen
“Eén losgeldeis is al lastig genoeg, laat staan drie na elkaar”
English | Français | Deutsche | Español | Finland | Meer talen
Tandarts keten betaalde cybercriminelen 2 miljoen euro losgeld
English | Français | Deutsche | Español | Finland | Meer talen