Peneliti Peringatkan Kemunculan Black Basta Ransomware
Kemunculan Black Basta Ransomware - Dalam dua bulan sejak diperkenalkan di alam liar, sindikat Black Basta ransomware-as-a-service (RaaS) telah mengumpulkan hampir 50 korban di Amerika Serikat, Kanada, Inggris, Australia, dan Selandia Baru, menjadikannya ancaman dalam waktu singkat.
"Black Basta telah terdeteksi menargetkan berbagai industri, termasuk manufaktur, konstruksi, transportasi, telekomunikasi, farmasi, kosmetik, pipa dan pemanas, dealer mobil, produsen pakaian dalam, dan lainnya," lkata Cybereason dalam sebuah laporan.
Black Basta, seperti operasi ransomware lainnya, diketahui menggunakan strategi pemerasan ganda yang terbukti benar untuk mencuri informasi penting dari korban dan mengancam untuk mempublikasikan data yang dicuri kecuali pembayaran digital dilakukan.
Sebagai pendatang baru di arena ransomware yang sudah ramai, intrusi yang melibatkan ancaman telah menggunakan QBot (alias Qakbot) sebagai saluran untuk mempertahankan kegigihan pada host yang disusupi dan mengumpulkan kredensial sebelum menyebar secara lateral ke seluruh jaringan dan mengirimkan malware enkripsi file.
Selain itu, para aktor Black Basta telah membuat versi Linux yang ditargetkan untuk menyerang mesin virtual (VM) VMware ESXi yang beroperasi pada server perusahaan, menjadikannya setara dengan kelompok lain seperti LockBit, Hive, dan Cheerscrypt.
🌐 Black Basta #Ransomware team added Elbit Systems US to the victims list 🚨
— DarkFeed (@ido_cohen2) June 25, 2022
Elbit Systems of America is a manufacturer of defense, aerospace, and security solutions 🪖
Owned subsidiary of Elbit Systems with $829 million in revenue from Israel 🇮🇱#BlackBasta pic.twitter.com/fJqtbbIaTW
Menurut peneliti keamanan Ido Cohen, sindikat cybercriminal menambahkan Elbit Systems of America, produsen solusi pertahanan, kedirgantaraan, dan keamanan, ke daftar korbannya selama akhir pekan.
Black Basta diklaim terdiri dari anggota kelompok Conti setelah yang terakhir menutup operasinya sebagai tanggapan atas perhatian penegakan hukum yang meningkat dan kebocoran besar yang membuat alat dan tekniknya memasuki domain publik setelah berpihak pada Rusia dalam perang melawan Ukraina.
"Saya tidak bisa menembak apa pun, tetapi saya bisa bertarung dengan keyboard dan mouse," spesialis komputer Ukraina di balik kebocoran, yang menggunakan nama samaran Danylo dan membocorkan data sebagai semacam pembalasan digital, kata CNN pada Maret 2022.
Kelompok Conti kemudian membantah adanya hubungan dengan Black Basta. Minggu lalu, ia menonaktifkan infrastruktur terakhir yang menghadap publik, termasuk dua server Tor yang digunakan untuk membocorkan data dan bernegosiasi dengan korban, mengakhiri operasi ilegal.
Sementara itu, kelompok tersebut mempertahankan penampilan operasi yang aktif dengan menargetkan pemerintah Kosta Rika, sementara beberapa anggota pindah ke pakaian ransomware lain dan merek tersebut menjalani perombakan organisasi yang membuatnya berkembang menjadi subkelompok yang lebih kecil dengan berbagai motivasi dan model bisnis yang berbeda, mulai dari pencurian data hingga bekerja sebagai afiliasi independen.
Kelompok Conti diyakini telah mengorbankan lebih dari 850 entitas sejak pertama kali diamati pada Februari 2020, mengorbankan lebih dari 40 organisasi di seluruh dunia sebagai bagian dari peretasan "secepat kilat" yang berlangsung dari 17 November hingga 20 Desember 2021, menurut sebuah laporan komprehensif dari Grup-IB yang merinci aktivitasnya.
Serangan, dijuluki "ARMattack" oleh perusahaan yang berbasis di Singapura, sebagian besar difokuskan terhadap organisasi AS (37%), diikuti oleh Jerman (3%), Swiss (2%), Uni Emirat Arab (2%), Belanda , Spanyol, Prancis, Republik Ceko, Swedia, Denmark, dan India (masing-masing 1%).
Manufaktur (14%), real estate (11,1%), logistik (8,2%), jasa profesional (7,1%), dan perdagangan (5,5%) secara historis menjadi lima sektor teratas yang ditargetkan oleh Conti, dengan operator yang secara khusus menargetkan perusahaan di Amerika Serikat (58,4%), Kanada (7%), Inggris (6,6%), Jerman (5,8%), Prancis (3,9%), dan Italia (3,1%).
"Aktivitas Conti yang berkembang dan kebocoran data menunjukkan bahwa ransomware bukan lagi permainan antara pengembang malware biasa, tetapi industri RaaS yang melanggar hukum mempekerjakan ratusan cybercriminal di seluruh dunia dengan berbagai spesialisasi," kata Pisarev dari Grup-Ivan IB.
"Conti adalah pemain terkenal yang sebenarnya telah mendirikan 'perusahaan IT' yang tujuan utamanya adalah untuk memeras uang dalam jumlah besar. Jelas bahwa kelompok akan terus beroperasi, baik sendiri atau dengan bantuan proyek 'anak perusahaannya'."