Amsterdam, 4 november 2022 - SentinelLabs, de onderzoeksafdeling van
SentinelOne, onthult in een
uitgebreid rapport de werkwijze van de personen die achter Black Basta-ransomware zitten. Black Basta gebruikt hun eigen op-maat-gemaakte tools, waaronder EDR-fraudetools. De onderzoekers van SentinelLabs vermoeden dat de ontwikkelaar van deze EDR-fraudetools een ontwikkelaar van de Russische criminele hackersorganisatie FIN7 is of was.
Black Basta: ongrijpbare ransomware-operatie
De Black Basta-ransomware werd voor het eerst gezien in april 2022 en had rond september 2022 bij meer dan 90 organisaties een inbreuk veroorzaakt. De snelheid en het volume van de aanvallen bewijzen dat de actoren achter Black Basta goed georganiseerd zijn en over voldoende middelen beschikken. Toch zijn er geen aanwijzingen dat Black Basta probeert verwante ondernemingen te werven, of te adverteren als RaaS op de gebruikelijke darknet-forums of crimeware-marktplaatsen. Dit heeft geleid tot veel speculatie over de oorsprong, identiteit en werking van de Black Basta ransomware-groep.
Black Basta gebruikt eigen tools en sluit samenwerking nagenoeg uit
Volgens de onderzoekers onderhoudt en implementeert Black Basta eigen, aangepaste tools, waaronder EDR-fraudetools. Verder blijkt uit het onderzoek dat Black Basta samenwerking met andere ransomware-groepen uitsluit. Ze werken hooguit samen met een beperkte en vertrouwde groep van partners, op een vergelijkbare manier als andere 'private' ransomware-groepen zoals Conti, TA505 en Evilcorp dat doen. SentinelLabs vermoed dat de ontwikkelaar van de EDR-fraudetools die Black Basta gebruikt een ontwikkelaar voor FIN7 is of was. Tenslotte blijkt uit het onderzoek dat Black Basta-bij aanvallen een unieke versluierde versie van ADFind gebruiken en gebruik maken van PrintNightmare, ZeroLogon en NoPac voor privilege escalatie.
Voor een gedetailleerde analyse van de operationele TTP's van Black Basta, zie het volledige Engelstalige bericht van SentinelLabs:
https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/.
Over SentinelOne
SentinelOne levert autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporingsfunctionaliteit combineert. Het SentinelOne platform is ontwikkeld met het oog op zeer hoog gebruiksgemak en bespaart gebruikers tijd dankzij de inzet van AI om automatisch en in realtime dreigingen binnen het bedrijf en in de cloud te elimineren. Daarnaast is het de enige oplossing die volledig inzicht biedt van edge tot cloud over het hele netwerk. Kijk voor meer informatie op
www.sentinelone.com en op
@SentinelOne, LinkedIn en Facebook.
Voor meer informatie
SentinelOne
Judith Veenhouwer
E-mail:
judithv@sentinelone.com
Deepr
Nini Joostens / Winnie Silvertand
E-mail:
sentinelone@deepr.nl