Rançongiciel Black Basta : une menace émergente
Articles du même auteur :
2
3
Le groupe RaaS Black Basta aurait fait près de 50 victimes en deux mois d’existence.
Le groupe Black Basta, identifié il y a seulement deux mois, aurait déjà fait près de 50 victimes, aux États-Unis, au Canada, au Royaume-Uni, en Australie et en Nouvelle-Zélande, ce qui en ferait l’un des RaaS émergent les plus actifs.
Le groupe a notamment visé des acteurs dans l’industrie manufacturière, la construction, les transports, les télécoms, les produits pharmaceutiques, la plomberie et le chauffage. D’après le chercheur en sécurité Ido Cohen, Black Basta aurait piraté ce week-end Elbit Systems of America, un fabricant de solutions de défense, d’aérospatiale et de sécurité.
Identifiée pour la première fois en février 2022, la souche du rançongiciel Black Basta a ensuite été annoncée sur des forums clandestins, avant d’être utilisée dans des attaques depuis avril 2022, avec la classique technique de la double extorsion.
Ces intrusions ont utilisé Qbot pour maintenir la persistance sur les hôtes compromis et récolter les informations d’identification, avant de se déplacer latéralement sur le réseau et de déployer le malware de cryptage. Le groupe de RaaS a également développé une variante Linux de son rançongiciel, visant les machines virtuelles VMware ESXi.
Plusieurs chercheurs soupçonnent fortement Black Basta d’être une émanation de Conti, après son auto-dissolution, ce que le groupe de rançongiciel russe nie.