Een nieuwe hackersgroep genaamd Black Basta timmert hard aan de weg. In de tweede week van april maakte de groep zijn eerste slachtoffer. In de daarop volgende week vielen meerdere bedrijven ten prooi aan de ransomware-aanvallen van Black Basta. Dat blijkt uit een analyse van BleepingComputer.
Volgens de techsite is er vrij weinig bekend over Black Basta. Ze maken bijvoorbeeld geen reclame voor hun aanvallen en rekruteren ook geen hackers of andere medewerkers via populaire hacking fora. Het gebrek aan publiciteit betekent echter niet dat de hackersgroep niet of minder actief is dan andere groeperingen.
De werkwijze van Black Basta is vergelijkbaar met die van andere hackerscollectieven. De groep gebruikt gijzelsoftware om de computersystemen van hun slachtoffers binnen te dringen. Eenmaal binnen stelen ze bedrijfsgevoelige en vertrouwelijke informatie en documenten. Vervolgens plaatsen ze alle bestanden achter slot en grendel met ransomware.
Om hun losgeld zo snel mogelijk op te strijken, voert Black Basta de druk op bij slachtoffers. De groep dreigt alle buitgemaakte gegevens openbaar te maken, tenzij de gedupeerde losgeld betaalt om publicatie te voorkomen. Om hun woorden kracht bij te zetten, publiceert de hackersgroep steeds meer gestolen data. Dit doen de hackers net zolang totdat het slachtoffer betaalt. Dit noemen we ook wel double extortion.
Black Basta heeft verschillende webpagina’s op het dark web, zoals de Black Basta Blog en Basta News. Deze sites zijn alleen via de webbrowser Tor toegankelijk. Daar vindt je niet alleen een lijst met slachtoffers, maar vaak ook een sample van de gegevens die de hackersgroep gestolen heeft.
BleepingComputer zegt dat er momenteel tien bedrijven met ransomware-aanvallen zijn bestookt door Black Basta. In werkelijkheid zijn er meer slachtoffers, zo weet de techsite. Deutsche Windtechnik en de American Dental Assosciation (ADA) waren eerder deze maand slachtoffer van Black Basta, maar hun Tor-pagina’s zijn inmiddels verwijderd. Dat betekent wellicht dat de partijen onderhandelen met de hackers over de hoogte van het losgeld.
Als de gijzelsoftware van Black Basta eenmaal een systeem heeft geïnfecteerd, worden alle bestanden afgeschermd. Deze bestanden zijn te herkennen aan een icoontje met de extensie .basta. In een tekstbestand staat een URL en login ID die naar een helpdesk leidt. Via deze Chat Black Baste kunnen slachtoffers onderhandelen over de hoogte van het losgeld. De hackers beloven een beveiligingsrapport op te stellen nadat het losgeld is betaald.
BleepingComputer denkt dat Black Basta een rebranding is van een ervaren hackersgroep. MalwareHunterTeam wijst via Twitter op de overeenkomsten met Conti. Zo hebben de websites van de groep de look and feel van Conti en is de manier waarop de helpdesk communiceert met slachtoffers nagenoeg hetzelfde. Door onder een andere naam te opereren, hopen de hackers de opsporingsinstanties op een dwaalspoor te zetten.
Conti was volgens beveiligingsonderzoekers vorig jaar verantwoordelijk voor 13 procent van alle wereldwijde ransomware-aanvallen. Ook hier in Nederland zijn er recentelijk slachtoffers gevallen. De groep zit naar verluidt achter de cyberaanval op meerdere woningcorporaties. De hackersgroep eist 15 miljoen euro aan losgeld.
