Een nieuwe hackersgroep genaamd 'Black Basta' timmert hard aan de weg. In de tweede week van april maakte de groep zijn eerste slachtoffer. In de daarop volgende week vielen meerdere bedrijven ten prooi aan de ransomware-aanvallen van Black Basta.
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| TÜV NORD GROUP | Black Basta | www.tuev-nord.de | Germany |
| Plauen Stahl Technologie GmbH | Black Basta | www.plauen-stahl.de | Germany |
| Oralia | Black Basta | oralia.fr | France |
| Boswell Engineering | Black Basta | www.boswellengineering.com | USA |
| LECHLER S.p.A. | Black Basta | www.lechler.eu | Italy |
| Laiteries Reunies Societe cooperative | Black Basta | lrgg.ch | Switzerland |
| IMA Schelling Group | Black Basta | www.imaschelling.com | Germany |
| LACKS | Black Basta | www.lacks.com | USA |
| Basler Versicherungen | Black Basta | www.basler.de | Germany |
| Deutsche Windtechnik | Black Basta | www.deutsche-windtechnik.de | Germany |
Volgens de techsite Bleepingcomputer is er vrij weinig bekend over Black Basta. Ze maken bijvoorbeeld geen reclame voor hun aanvallen en rekruteren ook geen hackers of andere medewerkers via populaire hacking fora. Het gebrek aan publiciteit betekent echter niet dat de hackersgroep niet of minder actief is dan andere groeperingen.
Werkwijze Black Basta
De werkwijze van Black Basta is vergelijkbaar met die van andere hackerscollectieven. De groep gebruikt gijzelsoftware om de computersystemen van hun slachtoffers binnen te dringen. Eenmaal binnen stelen ze bedrijfsgevoelige en vertrouwelijke informatie en documenten. Vervolgens plaatsen ze alle bestanden achter slot en grendel met ransomware.
Om hun losgeld zo snel mogelijk op te strijken, voert Black Basta de druk op bij slachtoffers. De groep dreigt alle buitgemaakte gegevens openbaar te maken, tenzij de gedupeerde losgeld betaalt om publicatie te voorkomen. Om hun woorden kracht bij te zetten, publiceert de hackersgroep steeds meer gestolen data. Dit doen de hackers net zolang totdat het slachtoffer betaalt. Dit noemen we ook wel double extortion.
Leak sites Darkweb
Black Basta heeft verschillende webpagina’s op het darkweb, zoals de Black Basta Blog en Basta News. Deze sites zijn alleen via de webbrowser Tor toegankelijk. Daar vindt je niet alleen een lijst met slachtoffers, maar vaak ook een sample van de gegevens die de hackersgroep gestolen heeft.
Als de gijzelsoftware van Black Basta eenmaal een systeem heeft geïnfecteerd, worden alle bestanden afgeschermd. Deze bestanden zijn te herkennen aan een icoontje met de extensie .basta. In een tekstbestand staat een URL en login ID die naar een helpdesk leidt. Via deze Chat Black Baste kunnen slachtoffers onderhandelen over de hoogte van het losgeld. De hackers beloven een beveiligingsrapport op te stellen nadat het losgeld is betaald.
Rebranding Conti
BleepingComputer denkt dat Black Basta een rebranding is van een ervaren hackersgroep. MalwareHunterTeam wijst via Twitter op de overeenkomsten met Conti. Zo hebben de websites van de groep de look and feel van Conti en is de manier waarop de helpdesk communiceert met slachtoffers nagenoeg hetzelfde. Door onder een andere naam te opereren, hopen de hackers de opsporingsinstanties op een dwaalspoor te zetten.
So this Black Basta ransomware gang must have something to do with Conti:
— MalwareHunterTeam (@malwrhunterteam) April 27, 2022
- The leak site feels to much similar to Conti's.
- The payment site is some too.
- How their support people talking is also basically same.
- How they/their support people behaves also reminds me of Conti.
Conti was volgens beveiligingsonderzoekers vorig jaar verantwoordelijk voor 13 procent van alle wereldwijde ransomware-aanvallen. Ook hier in Nederland zijn er recentelijk slachtoffers gevallen. De groep zit naar verluidt achter de cyberaanval op meerdere woningcorporaties. De hackersgroep eist 15 miljoen euro aan losgeld.
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: malwrhunterteam, bleepingcomputer.com, vpngids.nl
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer ransomware nieuws
Ransomware jaaroverzicht 2021
Ransomware zorgde in 2021 voor lege kaasschappen, naar huis gestuurd personeel en grote hoeveelheden gestolen persoonsgegevens. Ook in 2021 werden Nederlandse bedrijven, onderwijsinstellingen en andere organisaties geregeld het slachtoffer van ransomware. Een terugblik op een jaar vol ransomware-aanvallen. Daarnaast nemen we de grootste ransomware-aanvallen in het buitenland onder de loep, alsmede gebruikte aanvalsmethodes en reacties op de dreiging van ransomware.
Toename in agressiviteit en brutaliteit van ransomware cybercriminelen
Ransomware groeperingen worden steeds agressiever en brutaler. Dit blijkt uit het meest recente Threat Report van ESET. Het report met betrekking tot het tweede trimester van 2021 geeft inzicht in het huidige dreigingslandschap naar aanleiding van observaties en belicht onder andere de trends die gezien worden in het ransomware dreigingslandschap.
Status: vier weken na de cyberaanval op VLD
Vier weken na de computergijzeling is VDL de gevolgen van de brute aanval nog niet te boven. Mogelijk loopt de levering van bussen in Amsterdam vertraging op omdat de busfabriek in België nog platligt.
"Opnieuw is bewezen dat internationale samenwerking cruciaal is tegen de dreiging van ransomware"
In een grote internationale operatie van politie en justitie zijn in acht landen 12 verdachten opgespoord die vermoedelijk deel uit maken van een wereldwijd netwerk van cybercriminelen. Het netwerk voerde verwoestende ransomware-aanvallen uit op de kritieke infrastructuur, zoals overheden en multinationals over de hele wereld.
"Yeah baby" take down door politie diensten
De Russische hackersgroep REvil is deze week door de FBI, samen met de Amerikaanse Secret Service, het Amerikaanse ministerie van Defensie en diverse buitenlandse mogendheden offline gehaald. Dat schrijft het Amerikaanse persbureau Reuters op basis van diverse bronnen.
Ransomware: Laag risico hoge beloning
Uit 80 miljoen wereldwijd verzamelde malware samples blijkt dat er ruim 130 verschillende zogeheten ransomware families actief zijn. Dit blijkt uit een analyse over de cijfers 2020-2021 van cybersecurity initiatief 'VirusTotal' in opdracht van zoekgigant 'Google'. De meest getroffen landen in deze periode zijn onder andere Israël, Zuid-Korea, Vietnam, China en Singapore.
Universele decryptor voor slachtoffers 'REvil cybercriminelen' beschikbaar
Cybersecuritybedrijf Bitdefender heeft een universele decoderingssleutel ontwikkeld voor iedereen die in het verleden slachtoffer is geworden van REvil. Deze decryptor werkt niet alleen voor de supply chain attack op Kaseya: bedrijven en organisaties die vóór 13 juli slachtoffer waren van de Russische hackersgroep, kunnen de sleutel gebruiken om hun bestanden te ontgrendelen. Ondanks dat de decryptor gratis en voor niets beschikbaar is, waarschuwen securityexperts om voorzichtig te zijn.
Cybercriminelen van Vice Society publiceren gestolen data op het darkweb van ROC Mondriaan
De cybercriminelen van 'Vice Society' die verantwoordelijk zijn voor de cyberaanval op ROC Mondriaan, hebben de gegevens die zij hebben gestolen op het darkweb geplaatst. De aanvallers vroegen om losgeld, maar de scholengemeenschap weigerde deze te betalen.
74% van de ondervraagde organisaties is de afgelopen 12 maanden slachtoffer geworden van ten minste één ransomware aanval
Barracuda heeft het rapport ‘The state of network security in 2021’ gepubliceerd. Voor dit rapport zijn 750 IT-beslissers over de hele wereld ondervraagd die verantwoordelijk zijn voor de netwerken, de publieke clouds en de security van hun organisatie. Dit heeft inzichten opgeleverd in cloudadoptie, thuiswerken, securityproblemen en andere uitdagingen rond securityrisico's.
Gezocht: Insiders die malware installeren voor ransomware aanval
Wanneer ransomware een bedrijfsnetwerk binnendringt, gebeurt dat meestal via e-mail, kwetsbaarheden in de software of onbeveiligde verbindingen op afstand. Het lijkt onwaarschijnlijk dat een insider opzettelijk malware zou verspreiden. Uit de praktijk blijkt echter dat sommige aanvallers denken dat deze methode om ransomware te verspreiden doeltreffend is, en sommige aanvallers rekruteren daarom actief werknemers van bedrijven door hen een percentage van het losgeld aan te bieden.
Ziekenhuizen en gemeenten blijven populaire ransomware doelwitten bij cybercriminelen
Cyberveilig Nederland (CVN) heeft in samenwerking met enkele van haar leden, de Nationale Politie en het Nationaal Cyber Security Centrum (NCSC) een Whitepaper Ransomware gepubliceerd. Doel van het whitepaper is het op een laagdrempelige manier bieden van inzicht en handelingsperspectief zodat organisaties zich beter kunnen beveiligen tegen cybercriminelen.
Cybercriminelen vragen steeds meer losgeld bij ransomware aanvallen
Barracuda heeft zijn derde jaarlijkse onderzoeksrapport over ransomware gepubliceerd. Het nieuwe rapport onthult de aanvalspatronen van ransomware-incidenten die plaatsvonden tussen augustus 2020 en juli 2021.