Nieuwe 'Black Basta' cybercriminelen maken in korte tijd veel slachtoffers

Gepubliceerd op 28 april 2022 om 12:22

Een nieuwe hackersgroep genaamd 'Black Basta' timmert hard aan de weg. In de tweede week van april maakte de groep zijn eerste slachtoffer. In de daarop volgende week vielen meerdere bedrijven ten prooi aan de ransomware-aanvallen van Black Basta.

Slachtoffer Cybercriminelen Website Land
TÜV NORD GROUP Black Basta www.tuev-nord.de Germany
Plauen Stahl Technologie GmbH Black Basta www.plauen-stahl.de Germany
Oralia Black Basta oralia.fr France
Boswell Engineering Black Basta www.boswellengineering.com USA
LECHLER S.p.A. Black Basta www.lechler.eu Italy
Laiteries Reunies Societe cooperative Black Basta lrgg.ch Switzerland
IMA Schelling Group Black Basta www.imaschelling.com Germany
LACKS Black Basta www.lacks.com USA
Basler Versicherungen Black Basta www.basler.de Germany
Deutsche Windtechnik Black Basta www.deutsche-windtechnik.de Germany

Volgens de techsite Bleepingcomputer is er vrij weinig bekend over Black Basta. Ze maken bijvoorbeeld geen reclame voor hun aanvallen en rekruteren ook geen hackers of andere medewerkers via populaire hacking fora. Het gebrek aan publiciteit betekent echter niet dat de hackersgroep niet of minder actief is dan andere groeperingen.

Werkwijze Black Basta

De werkwijze van Black Basta is vergelijkbaar met die van andere hackerscollectieven. De groep gebruikt gijzelsoftware om de computersystemen van hun slachtoffers binnen te dringen. Eenmaal binnen stelen ze bedrijfsgevoelige en vertrouwelijke informatie en documenten. Vervolgens plaatsen ze alle bestanden achter slot en grendel met ransomware.

Om hun losgeld zo snel mogelijk op te strijken, voert Black Basta de druk op bij slachtoffers. De groep dreigt alle buitgemaakte gegevens openbaar te maken, tenzij de gedupeerde losgeld betaalt om publicatie te voorkomen. Om hun woorden kracht bij te zetten, publiceert de hackersgroep steeds meer gestolen data. Dit doen de hackers net zolang totdat het slachtoffer betaalt. Dit noemen we ook wel double extortion.

Leak sites Darkweb

Black Basta heeft verschillende webpagina’s op het darkweb, zoals de Black Basta Blog en Basta News. Deze sites zijn alleen via de webbrowser Tor toegankelijk. Daar vindt je niet alleen een lijst met slachtoffers, maar vaak ook een sample van de gegevens die de hackersgroep gestolen heeft.

Als de gijzelsoftware van Black Basta eenmaal een systeem heeft geïnfecteerd, worden alle bestanden afgeschermd. Deze bestanden zijn te herkennen aan een icoontje met de extensie .basta. In een tekstbestand staat een URL en login ID die naar een helpdesk leidt. Via deze Chat Black Baste kunnen slachtoffers onderhandelen over de hoogte van het losgeld. De hackers beloven een beveiligingsrapport op te stellen nadat het losgeld is betaald.

Rebranding Conti

BleepingComputer denkt dat Black Basta een rebranding is van een ervaren hackersgroep. MalwareHunterTeam wijst via Twitter op de overeenkomsten met Conti. Zo hebben de websites van de groep de look and feel van Conti en is de manier waarop de helpdesk communiceert met slachtoffers nagenoeg hetzelfde. Door onder een andere naam te opereren, hopen de hackers de opsporingsinstanties op een dwaalspoor te zetten.

Conti was volgens beveiligingsonderzoekers vorig jaar verantwoordelijk voor 13 procent van alle wereldwijde ransomware-aanvallen. Ook hier in Nederland zijn er recentelijk slachtoffers gevallen. De groep zit naar verluidt achter de cyberaanval op meerdere woningcorporaties. De hackersgroep eist 15 miljoen euro aan losgeld.

De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

New Black Basta Ransomware Springs Into Action With A Dozen Breaches
PDF – 3,4 MB 299 downloads