Das Black Basta Ransomware-as-a-Service (RaaS)-Syndikat hat innerhalb von zwei Monaten nach seinem Auftauchen in der freien Wildbahn fast 50 Opfer in den USA, Kanada, Großbritannien, Australien und Neuseeland angehäuft und ist damit innerhalb eines kurzen Zeitfensters zu einer bedeutenden Bedrohung geworden.
„Black Basta hat es auf eine Reihe von Branchen abgesehen, darunter die Fertigungsindustrie, das Baugewerbe, das Transportwesen, Telekommunikationsunternehmen, die Pharmaindustrie, die Kosmetikindustrie, die Sanitär- und Heizungsbranche, Autohändler, Hersteller von Unterwäsche und viele mehr“, so Cybereason in einem Bericht.
Es gibt Hinweise darauf, dass sich die Ransomware noch im Februar 2022 in der Entwicklung befand und erst ab April in Angriffen eingesetzt wurde, nachdem sie in Untergrundforen mit der Absicht beworben wurde, den Zugang zu Unternehmensnetzwerken zu kaufen und zu monetarisieren, um einen Teil des Gewinns zu erhalten.
Ähnlich wie andere Ransomware-Operationen wendet Black Basta die bewährte Taktik der doppelten Erpressung an, um sensible Informationen von den Zielpersonen zu erbeuten und damit zu drohen, die gestohlenen Daten zu veröffentlichen, wenn keine digitale Zahlung geleistet wird.
Als Neuzugang in der ohnehin schon überfüllten Ransomware-Landschaft nutzen die Eindringlinge QBot (auch bekannt als Qakbot) als Kanal, um sich auf den angegriffenen Rechnern zu halten und Anmeldedaten zu sammeln, bevor sie sich seitlich im Netzwerk bewegen und die dateiverschlüsselnde Malware einsetzen.
Darüber hinaus haben die Akteure hinter Black Basta eine Linux-Variante entwickelt, die auf virtuelle VMware ESXi-Maschinen (VMs) auf Unternehmensservern abzielt und sich damit auf eine Stufe mit anderen Gruppen wie LockBit, Hive und Cheerscrypt stellt.
Laut dem Sicherheitsforscher Ido Cohen hat das cyberkriminelle Syndikat am Wochenende Elbit Systems of America, einen Hersteller von Verteidigungs-, Luft- und Raumfahrt- sowie Sicherheitslösungen, auf die Liste seiner Opfer gesetzt.
Black Basta soll sich aus Mitgliedern der Conti-Gruppe zusammensetzen, nachdem diese ihre Aktivitäten als Reaktion auf die verstärkte Kontrolle durch die Strafverfolgungsbehörden und ein großes Leck, bei dem ihre Werkzeuge und Taktiken an die Öffentlichkeit gelangten, nachdem sie sich auf die Seite Russlands im Krieg gegen die Ukraine gestellt hatten, eingestellt hatte.
„Ich kann zwar nicht schießen, aber ich kann mit Tastatur und Maus kämpfen“, sagte der ukrainische Computerspezialist, der unter dem Pseudonym Danylo bekannt ist und den Datenschatz als eine Art digitale Vergeltung veröffentlichte, im März 2022 gegenüber CNN.
Das Conti-Team hat seitdem bestritten, dass es mit Black Basta in Verbindung steht. In der vergangenen Woche hat es die letzte verbliebene öffentliche Infrastruktur stillgelegt, darunter auch zwei Tor-Server, die für das Datenleck und die Verhandlungen mit den Opfern genutzt wurden, was das offizielle Ende des kriminellen Unternehmens bedeutet.
In der Zwischenzeit hielt die Gruppe die Fassade einer aktiven Operation aufrecht, indem sie die costaricanische Regierung ins Visier nahm, während einige Mitglieder zu anderen Ransomware-Organisationen wechselten und die Marke eine organisatorische Umstrukturierung durchlief, bei der sie sich in kleinere Untergruppen mit unterschiedlichen Motivationen und Geschäftsmodellen auflöste, die von Datendiebstahl bis zur Arbeit als unabhängige Partner reichten.
Einem umfassenden Bericht von Group-IB zufolge, in dem die Aktivitäten der Conti-Gruppe detailliert beschrieben werden, soll sie seit ihrer ersten Beobachtung im Februar 2020 mehr als 850 Unternehmen zum Opfer gefallen sein und in der Zeit vom 17. November bis zum 20. Dezember 2021 mehr als 40 Organisationen weltweit angegriffen haben.
Die von dem Unternehmen mit Sitz in Singapur als „ARMattack“ bezeichneten Angriffe richteten sich vor allem gegen US-amerikanische Organisationen (37 %), gefolgt von Deutschland (3 %), der Schweiz (2 %), den Vereinigten Arabischen Emiraten (2 %), den Niederlanden, Spanien, Frankreich, der Tschechischen Republik, Schweden, Dänemark und Indien (jeweils 1 %).
Die fünf wichtigsten Zielbranchen von Conti sind das verarbeitende Gewerbe (14 %), der Immobiliensektor (11,1 %), die Logistikbranche (8,2 %), freiberufliche Dienstleistungen (7,1 %) und der Handel (5,5 %), wobei die Betreiber insbesondere Unternehmen in den USA (58,4 %), Kanada (7 %), Großbritannien (6,6 %), Deutschland (5,8 %), Frankreich (3,9 %) und Italien (3,1 %) ins Visier nehmen.
„Die verstärkte Aktivität von Conti und das Datenleck deuten darauf hin, dass Ransomware nicht länger ein Spiel zwischen durchschnittlichen Malware-Entwicklern ist, sondern eine illegale RaaS-Industrie, die Hunderten von Cyberkriminellen mit unterschiedlichen Spezialisierungen weltweit Arbeit gibt“, so Ivan Pisarev von Group-IB.
„In dieser Branche ist Conti ein berüchtigter Akteur, der in der Tat eine ‚IT-Firma‘ gegründet hat, deren Ziel es ist, große Summen zu erpressen. Es ist klar […], dass die Gruppe ihre Aktivitäten fortsetzen wird, entweder allein oder mit Hilfe ihrer ‚Tochterprojekte‘.“