L’ordre hiérarchique Des gangs de ransomware changent et évoluent toujours, avec les groupes les plus agressifs et les plus téméraires qui provoquent de gros versets à partir de cibles vulnérables, mais finalement en fin de compte. Le groupe russophone Black Basta est le dernier exemple de la tendance après avoir stoppé ces derniers mois en raison des démontages des forces de l’ordre et d’une fuite dommageable. Mais après quelques semaines tranquilles, les chercheurs avertissent que, loin d’être mort et parti, les acteurs impliqués dans Black Basta réapparaîtront dans d’autres groupes de cybercrimins – ou potentiellement déjà – pour recommencer le cycle.
Depuis qu’il est apparu en avril 2022, Black Basta a généré des centaines de tens of millions de {dollars} en paiements ciblant un éventail de victimes d’entreprises dans les soins de santé, les infrastructures critiques et d’autres industries à enjeux élevés. Le groupe utilise une double extorsion pour faire pression sur les cibles pour payer une rançon – stricter les données et menacer de la divulguer tout en cryptant les systèmes d’une cible pour les maintenir en otage. L’Agence américaine de sécurité de cybersécurité et d’infrastructure averti L’année dernière, Black Basta avait fait une tournée ciblant plus de 500 organisations en Amérique du Nord, en Europe et en Australie.
Un grand software de la loi internationale démonter En 2023, le botnet «Qakbot» a cependant gêné les opérations de Black Basta. Et, en février, Une fuite majeure des données internes du groupe– y compris les journaux de dialogue et les informations opérationnelles – a parcouru le groupe. Depuis lors, il est devenu dormant. Les chercheurs avertissent, cependant, que les criminels derrière Black Basta sont déjà en mouvement et sont presque certains pour mettre en scène une résurgence.
«Nous n’avons pas vu les dirigeants de Black Basta se regrouper, mais ils vont continuer à travailler, ils vont continuer à fonctionner», a déclaré Allan Liska, un analyste des renseignements sur les menaces axée sur les ransomwares de la société de sécurité enregistrée. «Il y a encore trop d’argent là-dedans. Et les acteurs ransomwares sont des créatures d’habitude comme quiconque.»
La fuite a révélé des détails sur les logiciels malveillants et les capacités strategies de Black Basta, ses querelles internes et ses indices sur l’identité des acteurs derrière le groupe, en particulier son administrateur principal. Les données exposées provenaient de ce qui pourrait être considéré comme l’apogée de Black Basta, septembre 2023 à septembre 2024. Pendant cette période, le groupe n’a pas hésité à causer des dommages avec ses violations. Une attaque particulièrement agressive l’année dernière sur l’Ascension du réseau de soins de santé basé à Saint-Louis, par exemple, aurait provoqué des perturbations des soins, notamment des ambulances réacheminées.
Black Basta a eu du mal à maintenir son élan, cependant, après le démontage de Qakbot en 2023, connu sous le nom d’opération Duck Hunt.
«Ce fut un coup dur pour eux, et ils essayaient de se remettre sur pied – utilisez d’autres botnets, travaillant sur un botnet personnalisé, mais cela n’a pas vraiment fonctionné, et finalement leur taux d’an infection était en baisse», explique Redvense, Redvensey Redvense. «Ils avaient moins d’objectifs et se mettaient dans moins de réseaux. Ils étaient toujours dangereux, mais il y avait ce sentiment qu’il y avait une détérioration.»
Même dans ce déclin, il y avait des preuves que Black Basta essayait de monter une résurgence. En plus d’explorer de nouveaux logiciels malveillants, le gang a commencé à se concentrer sur les objectifs de compromis par le biais de campagnes d’ingénierie sociale et d’affect, en particulier les opérations de messagerie électronique et les escroqueries de help technologique. Mais après la fuite, dit Bohuslavskiy, les membres ont commencé à déménager dans d’autres groupes et ont déjà soutenu leurs nouveaux gangs.
