De Black Basta ransomware-as-a-service (RaaS)-operatie heeft zich sinds de opkomst in april 2022 gericht op meer dan 500 particuliere bedrijven en kritieke infrastructuurentiteiten in Noord-Amerika, Europa en Australië.
In een gezamenlijk advies gepubliceerd door de Cybersecurity and Infrastructure Security Agency (CISA), het Federal Bureau of Investigation (FBI), het Department of Health and Human Services (HHS) en het Multi-State Information Sharing and Analysis Center (MS-ISAC ), zeiden de agentschappen dat de bedreigingsactoren gegevens van ten minste 12 van de 16 kritieke infrastructuursectoren hebben versleuteld en gestolen.
“Aan Black Basta gelieerde ondernemingen gebruiken algemene technieken voor initiële toegang – zoals phishing en het exploiteren van bekende kwetsbaarheden – en gebruiken vervolgens een model van dubbele afpersing, waarbij zowel systemen worden gecodeerd als gegevens worden geëxfiltreerd”, aldus het bulletin.
In tegenstelling tot andere ransomwaregroepen bevatten de losgeldbriefjes die aan het einde van de aanval worden achtergelaten, geen eerste vraag om losgeld of betalingsinstructies. In plaats daarvan voorzien de aantekeningen de slachtoffers van een unieke code en instrueren ze hen contact op te nemen met de bende via een .onion-URL.
Black Basta werd in april 2022 voor het eerst in het wild waargenomen met QakBot als initiële vector, en is sindsdien een zeer actieve ransomware-acteur gebleven.
Statistieken verzameld door Malwarebytes laten zien dat de groep in verband is gebracht met 28 van de 373 bevestigde ransomware-aanvallen die plaatsvonden in april 2024. Volgens Kaspersky was het de twaalfde meest actieve familie in 2023. Black Basta is ook getuige geweest van een toename van de activiteit in Q1 2024, met een piek van 41% kwartaal-op-kwartaal.
Er zijn aanwijzingen dat de Black Basta-operators banden hebben met een andere cybercriminaliteitsgroep, gevolgd als FIN7, die sinds 2020 is overgestapt op het uitvoeren van ransomware-aanvallen.
Aanvalsketens waarbij de ransomware betrokken was, vertrouwden op tools zoals de SoftPerfect-netwerkscanner voor netwerkscannen, BITSAdmin, Cobalt Strike-beacons, ConnectWise ScreenConnect en PsExec voor laterale beweging, Mimikatz voor escalatie van bevoegdheden en RClone voor gegevensexfiltratie voorafgaand aan de codering.
Andere methoden die worden gebruikt om verhoogde rechten te verkrijgen, zijn onder meer het misbruik van beveiligingsfouten zoals ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 en CVE-2021-42287) en PrintNightmare (CVE-2021-34527).
Bepaalde instanties hebben ook de inzet van een tool met de naam Backstab met zich meegebracht om endpoint detectie en respons (EDR)-software uit te schakelen. Het is vermeldenswaard dat Backstab in het verleden ook in dienst is geweest van LockBit-filialen.
De laatste stap omvat het versleutelen van bestanden met behulp van een ChaCha20-algoritme met een openbare RSA-4096-sleutel, maar niet voordat de volumeschaduwkopieën zijn verwijderd via het programma vssadmin.exe om het systeemherstel te belemmeren.
“Zorgorganisaties zijn aantrekkelijke doelwitten voor cybercriminaliteitsactoren vanwege hun omvang, technologische afhankelijkheid, toegang tot persoonlijke gezondheidsinformatie en unieke gevolgen van verstoringen van de patiëntenzorg”, aldus de instanties.
De ontwikkeling komt op het moment dat een CACTUS-ransomwarecampagne misbruik blijft maken van beveiligingsfouten in een cloudanalyse- en business intelligence-platform genaamd Qlik Sense om initiële toegang tot doelomgevingen te verkrijgen.
Uit een nieuwe analyse door het Fox-IT-team van NCC Group is gebleken dat 3.143 servers nog steeds risico lopen op CVE-2023-48365 (ook bekend als DoubleQlik), waarvan het merendeel zich in de VS, Italië, Brazilië, Nederland en Duitsland bevindt. van 17 april 2024.
Het ransomware-landschap is in beweging en registreert een daling van 18% in activiteit in het eerste kwartaal van 2024 vergeleken met het voorgaande kwartaal, voornamelijk onder leiding van wetshandhavingsoperaties tegen ALPHV (ook bekend als BlackCat) en LockBit.
Nu LockBit te kampen heeft met aanzienlijke reputatieschade onder de aangesloten bedrijven, wordt vermoed dat de groep hoogstwaarschijnlijk zal proberen de merknaam te veranderen. “De DarkVault-ransomwaregroep is een mogelijke opvolger van LockBit”, aldus cyberbeveiligingsbedrijf ReliaQuest, daarbij verwijzend naar overeenkomsten met de branding van LockBit.
Enkele van de andere nieuwe ransomwaregroepen die de afgelopen weken hun intrede deden, zijn APT73, DoNex, DragonForce, Hunt (een Dharma/Crysis ransomware-variant), KageNoHitobito, Megazord, Qiulong, Rincrypt en Shinra.
De ‘diversificatie’ van ransomware-varianten en ‘het vermogen om zich snel aan te passen en te rebranden in geval van tegenslag spreekt van de veerkrachtige dynamische aard van bedreigingsactoren in het ransomware-ecosysteem’, aldus blockchain-analysebedrijf Chainalysis, dat een daling van 46% in losgeldbetalingen benadrukt. in 2023.
Dit wordt bevestigd door bevindingen van Coveware, eigendom van Veeam, waarin staat dat het percentage slachtoffers dat ervoor koos om te betalen in het eerste kwartaal van 2024 een nieuw laagterecord van 28% bereikte. De gemiddelde losgeldbetaling voor de periode bedroeg $381.980, een daling van 32% ten opzichte van Q4 2023.
De neergang wordt verder aangevuld doordat slachtoffers steeds vaker weigeren het aanvankelijk gevraagde bedrag te betalen, blijkt uit een wereldwijd onderzoek onder 5.000 organisaties dat is uitgevoerd als onderdeel van het Sophos State of Ransomware 2024-rapport dat vorige maand werd uitgebracht.
“1.097 respondenten wiens organisatie het losgeld betaalde, deelden het werkelijk betaalde bedrag, waaruit bleek dat de gemiddelde (mediaan) betaling het afgelopen jaar vervijfvoudigd is, van $400.000 naar $2 miljoen”, aldus het bedrijf.
“Hoewel het tarief voor het betalen van losgeld is gestegen, zegt slechts 24% van de respondenten dat hun betaling overeenkwam met het oorspronkelijke verzoek. 44% betaalde minder dan de oorspronkelijke vraag, terwijl 31% meer betaalde.”
