קבוצת הכופרה Black Basta סוגרת את הבסטה לעשרות ארגונים

קבוצת הכופרה Black Basta, שפועלת במודל של כופרה כשירות (Ransomware-as-a-Service), הצליחה לפגוע כבר בעשרות רבות של ארגונים – כך לפי Unit 42, יחידת המחקר של פאלו אלטו.

לפי החוקרים, הקבוצה זוהתה בראשונה באפריל 2022, אך עדויות מצביעות על כך שהיא בפיתוח מאז פברואר.

מפעילי Black Basta משתמשים בטכניקת הסחיטה הכפולה, כלומר בנוסף להצפנת קבצים במערכות של ארגונים ודרישת כופר, הם גם מחזיקים אתר בדארק ווב, Basta News – אליו הם מעלים את המידע שנגנב, ובאמצעותו הם מאיימים לפרסם מידע רגיש – אם הארגון לא משלם את דמי הכופר.

מתכונת פעולה של כופרה כשירות (RaaS). צילום: Unit 42, יחידת המחקר של פאלו אלטו

קבוצה מנוסה בעסקי הכופרות

אף שמדובר בקבוצה "צעירה" בשוק, הפועלת כמה חודשים בודדים, על פי ההערכות היא כבר הצליחה לפגוע ביותר מ-75 ארגונים גדולים בתעשיית האנרגיה, התחבורה, החקלאות, סוכנויות ממשלתיות, "והיד עוד נטויה". הקבוצה תוקפת ארגונים שבסיסם באוסטרליה, קנדה, ניו זילנד, בריטניה וארה"ב.

כבר בשבועיים הראשונים מאז החלו לתקוף, ההאקרים של Black Basta הדליפו פרטים של לפחות 20 ארגונים, מה שמצביע על כך שהקבוצה מנוסה בעסקי הכופרות.

התוכנה של הכופרה כתובה בשפת C++, והיא משפיעה הן על מערכות ההפעלה Windows והן לינוקס. הכופרה מצפינה את נתוני המשתמשים, ומאיצה את תהליך ההצפנה, כדי לפגוע בכמה כמה שיותר מהר – כמה שיותר מערכות, בטרם הארגון יחל בהפעלת מערכות הגנה. לדברי החוקרים, "מהירות ההצפנה היא גורם מפתח שפושעים מחפשים כשהם מצטרפים לקבוצת כופרה כשירות".

החוקרים אמרו כי חברי הקבוצה עושים שימוש ב-QBot כנקודת כניסה ראשונית לארגון, שלאחריה הם נעים לרוחב הרשתות של הקורבן. QBot, הידוע גם בשם Qakbot, הוא זן נוזקות הפועל בסביבת חלונות. הוא התחיל כסוס טרויאני למתקפות של ארגונים פיננסיים, ומשם התפתח להורדת עוד נוזקות. חוקרי פאלו אלטו ציינו כי הוא היה גם בשימוש של קבוצות כופרה אחרות, אלא שחברי Black Basta הרחיבו את השימוש בו.

לפי החוקרים, ייתכן שלא מדובר בקבוצה חדשה, אלא במיתוג מחדש של קבוצת כופרות קודמת: "בהתבסס על קווי דמיון מרובים בטקטיקות, ובזמן הקצר שבו היא פועלת, לצד ריבוי הקורבנות – אנחנו מאמינים שהקבוצה מורכבת מחברי עבר, או הווה, של קונטי (Conti), קבוצת ההאקרים הידועה מרוסיה".