Gagalama siparişi Fidye yazılımı çeteleri her zaman değişiyor ve gelişiyor, en agresif ve pervasız gruplar savunmasız hedeflerden büyük ödemeleri netleştiriyor – ancak genellikle sonuçta yanıyor. Rusça konuşan grup Black Basta, kolluk kuvvetleri ve zararlı bir sızıntı nedeniyle son aylarda duran eğilimin son örneğidir. Ancak bazı sessiz haftalardan sonra, araştırmacılar, ölmek ve gitmekten çok, Black Basta ile ilgili aktörlerin, döngüye bir kez daha başlamak için diğer siber suçlu gruplarda – ya da potansiyel olarak zaten olması gerektiği konusunda uyarıyorlar.
Nisan 2022’de ortaya çıktığından beri Black Basta, sağlık hizmetleri, kritik altyapı ve diğer yüksek bahisli endüstrilerde bir dizi kurumsal kurbanı hedefleyen yüz milyonlarca dolar ödemeler üretti. Grup, bir fidye ödemek için basınç hedeflerine çift gasp kullanır – verileri yönlendiren ve bir hedefin sistemlerini rehin tutmak için şifreleyerek onu sızdırmakla tehdit eder. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, geçen yıl Black Basta’nın Kuzey Amerika, Avrupa ve Avustralya’da 500’den fazla kuruluşu hedefleyen bir çılgınlığa gittiği konusunda uyardı.
“Qakbot” botnet’in 2023’te büyük bir uluslararası kolluk kuvveti yayından kaldırma, siyah Basta’nın operasyonlarını engelledi. Ve bu Şubat ayında, grubun dahili verilerinin – sohbet günlükleri ve operasyonel bilgiler de dahil olmak üzere büyük bir sızıntısı grubu kaydı. O zamandan beri uykuda kaldı. Araştırmacılar, Black Basta’nın arkasındaki suçluların zaten hareket halinde oldukları ve yeniden canlanmaya neredeyse kesin oldukları konusunda uyarıyorlar.
Güvenlik firmasında fidye yazılımlarına odaklanan bir tehdit istihbarat analisti olan Allan Liska, “Black Basta Regroup liderlerini görmedik, ancak çalışmaya devam edecekler, faaliyet göstermeye devam edecekler” diyor. “İçinde hala çok fazla para var. Fidye yazılımı aktörleri, tıpkı herkes gibi alışkanlık yaratıkları.”
Sızıntı, Black Basta’nın kötü amaçlı yazılımları ve teknik yetenekleri, iç kavgaları ve grubun arkasındaki aktörlerin, özellikle ana yöneticisinin kimliği hakkında ipuçları hakkında ayrıntıları ortaya çıkardı. Maruz kalan veriler, Black Basta’nın en parlak günleri, Eylül 2023 – Eylül 2024 olarak kabul edilebilecek şeydi. Bu dönemde grup, ihlallerine zarar verme olasılığından çekinmedi. Örneğin, geçen yıl St. Louis merkezli sağlık ağı yükselişine özellikle saldırgan bir saldırı, yeniden yönlendirilmiş ambulanslar da dahil olmak üzere bakımda kesintilere neden oldu.
Black Basta, Duck Hunt Operasyonu olarak bilinen 2023 Qakbot yayından kaldırılmasından sonra momentumunu korumak için mücadele etti.
“Onlara büyük bir darbe oldu ve ayaklarına geri dönmeye çalışıyorlardı-diğer botnetleri kullanıyorlardı, özel bir botnet üzerinde çalışıyorlardı, ancak bu gerçekten işe yaramadı ve sonuçta enfeksiyon oranları azalıyordu” diyor. “Daha az hedefleri vardı ve daha az ağa giriyorlardı. Hala tehlikeliydiler, ama bu bozulma olduğu hissi vardı.”
Bu düşüşte bile, Black Basta’nın yeniden canlanmaya çalıştığına dair kanıtlar vardı. Yeni kötü amaçlı yazılımları keşfetmenin yanı sıra, çete, sosyal mühendislik ve özellikle spam e -posta operasyonları ve teknoloji destek dolandırıcılıkları ile hedeflerden ödün vermeye odaklanmaya başladı. Ancak sızıntıdan sonra Bohuslavskiy, üyelerin diğer gruplara taşınmaya başladığını ve yeni çetelerini zaten şamandıra ettiğini söylüyor.
Herhangi bir endüstri gibi, Rus siber suçlu manzarası yıllarca birlikte çalışan veya birbirlerine karşı yarışan insanlarla doludur. Black Basta kendini bu kadar hızlı kurabildi çünkü üyelerinin çoğu, uzun süredir siber suçlu çete konti de dahil olmak üzere önceki siber suçlu operasyonlara dahil oldu. Conti, 2022’de iç işlerini ve Kremlin ile bağlarını ortaya çıkaran başka bir iç sızıntı olayı nedeniyle tanınmış bir gruptur. Conti’nin ölümünden sonra, araştırmacılar üyelerini dağılırken izlediler ve Black Basta da dahil olmak üzere yeni hack grupları başlattılar.