Overslaan en naar de inhoud gaan

SentinelLabs onthult de tools en technieken van de Black Basta ransomware-operatie

SentinelLabs, de onderzoeksafdeling van SentinelOne, onthult in een uitgebreid rapport de werkwijze van de personen die achter Black Basta-ransomware zitten. Black Basta gebruikt hun eigen op-maat-gemaakte tools, waaronder EDR-fraudetools. De onderzoekers van SentinelLabs vermoeden dat de ontwikkelaar van deze EDR-fraudetools een ontwikkelaar van de Russische criminele hackersorganisatie FIN7 is of was.

Black Basta: ongrijpbare ransomware-operatie
De Black Basta-ransomware werd voor het eerst gezien in april 2022 en had rond september 2022 bij meer dan 90 organisaties een inbreuk veroorzaakt. De snelheid en het volume van de aanvallen bewijzen dat de actoren achter Black Basta goed georganiseerd zijn en over voldoende middelen beschikken. Toch zijn er geen aanwijzingen dat Black Basta probeert verwante ondernemingen te werven, of te adverteren als RaaS op de gebruikelijke darknet-forums of crimeware-marktplaatsen. Dit heeft geleid tot veel speculatie over de oorsprong, identiteit en werking van de Black Basta ransomware-groep.

Black Basta gebruikt eigen tools en sluit samenwerking nagenoeg uit
Volgens de onderzoekers onderhoudt en implementeert Black Basta eigen, aangepaste tools, waaronder EDR-fraudetools. Verder blijkt uit het onderzoek dat Black Basta samenwerking met andere ransomware-groepen uitsluit. Ze werken hooguit samen met een beperkte en vertrouwde groep van partners, op een vergelijkbare manier als andere 'private' ransomware-groepen zoals Conti, TA505 en Evilcorp dat doen. SentinelLabs vermoed dat de ontwikkelaar van de EDR-fraudetools die Black Basta gebruikt een ontwikkelaar voor FIN7 is of was. Tenslotte blijkt uit het onderzoek dat Black Basta-bij aanvallen een unieke versluierde versie van ADFind gebruiken en gebruik maken van PrintNightmare, ZeroLogon en NoPac voor privilege escalatie.

Voor een gedetailleerde analyse van de operationele TTP's van Black Basta, zie het volledige Engelstalige bericht van SentinelLabs: https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in