A Black Basta csoport kitérőbb, egyéni kártevőt használ
A Black Basta ransomware csoport ellenálló képességről és alkalmazkodóképességről tett tanúbizonyságot a folyamatosan változó térben, új egyéni eszközöket és taktikákat használva az észlelés elkerülésére és a hálózaton belüli terjedésre. A Black Basta egy 2022 áprilisa óta aktív ransomware üzemeltető, amely több mint 500 sikeres támadásért felelős világszerte vállalatok ellen. A csoport kettős zsarolási stratégiát követ, amely az adatlopást és a titkosítást kombinálja, és milliós nagyságrendű váltságdíjat követel. A Black Basta korábban a QBot botnet-tel együttműködve szerzett kezdeti hozzáférést a vállalati hálózatokhoz. Miután azonban a QBot botnetet a bűnüldöző szervek megzavarták, a Mandiant jelentése szerint a Black Basta-nak új partnerségeket kellett létrehoznia a vállalati hálózatok feltöréséhez. Ezen túlmenően a Mandiant, amely UNC4393 néven követi a kiberszereplőt, a Black Basta behatolásaiban használt új rosszindulatú szoftvereket és eszközöket azonosított, ami az evolúcióról és a rugalmasságról tanúskodik. Miután az FBI és a DOJ 2023 végén felszámolta a QBot infrastruktúráját, a Black Basta más, kezdeti hozzáférést biztosító terjesztési clusterek felé fordult, leginkább a DarkGate rosszindulatú szoftvereket szállító clusterek felé. Később a Black Basta áttért a SilentNight, egy sokoldalú, backdoor használatára, ami az adathalászattól, mint a kezdeti hozzáférés elsődleges módszerétől való eltérést jelzi. A Mandiant jelentése szerint a Black Basta fokozatosan áttért a nyilvánosan elérhető eszközök használatáról a saját fejlesztésű, egyedi malware-ekre. 2024 elején megfigyelték, hogy az UNC4393 egy DawnCry nevű, csak memóriára korlátozódó, egyéni dropper telepítését hajtotta végre. Ez a dropper egy többlépcsős fertőzést indított el, amelyet a DaveShell követett, ami végül a PortYard tunnelhez vezetett. A PortYard, amely szintén egy egyedi eszköz, kapcsolatot létesít a Black Basta C2 infrastruktúrájával, és proxyként továbbítja a forgalmat.
