Le gang de ransomwares lié à la Russie, Black Basta, a récolté au moins 100 millions de dollars de rançons auprès de plus de 90 victimes depuis son apparition en avril 2022, selon une étude conjointe de Corvus Insurance et Elliptic.
Plus de 329 victimes dans le monde ont été ciblées par l’opération de cybercriminalité dans le cadre d’attaques de double extorsion dans lesquelles les affiliés du gang volent des données sensibles sur des systèmes compromis avant de déployer des charges utiles de ransomware sur les réseaux des cibles pour chiffrer les systèmes piratés.
Les données volées sont ensuite utilisées pour faire pression sur les victimes afin qu’elles paient les rançons sous la menace de les publier sur le site de fuite du dark web de Black Basta.
« Notre analyse suggère que Black Basta a reçu au moins 107 millions de dollars de rançons depuis début 2022, pour plus de 90 victimes. Le paiement de rançon le plus important reçu était de 9 millions de dollars, et au moins 18 des rançons dépassaient 1 million de dollars. Le paiement de rançon moyen s’élevait à 1,2 million de dollars », a déclaré l’équipe Corvus Threat Intel.
« Sur la base du nombre de victimes connues répertoriées sur le site de fuite de Black Basta jusqu’au troisième trimestre 2023, nos données indiquent qu’au moins 35 % des victimes connues de Black Basta ont payé une rançon. »
Cela concorde avec les conclusions de la société de négociation de ransomwares Coveware selon lesquelles, malgré des paiements de ransomwares record en 2022, environ 41 % de toutes les victimes de ransomwares ont payé une rançon.
Black Basta est apparu en avril 2022 sous la forme d’une opération Ransomware-as-a-Service (RaaS), ciblant des entreprises du monde entier dans le cadre d’attaques de double extorsion.
Après que le célèbre gang de ransomwares Conti ait mis fin à ses activités en juin 2022 en raison d’une série de violations de données embarrassantes, le syndicat de la cybercriminalité s’est divisé en plusieurs groupes, l’une d’elles étant considérée comme étant Black Basta.
« Le ciblage prolifique par le groupe de menaces d’au moins 20 victimes au cours de ses deux premières semaines d’activité indique qu’il est expérimenté dans le domaine des ransomwares et qu’il dispose d’une source d’accès initiale stable », a déclaré l’équipe de sécurité du ministère de la Santé et des Services sociaux dans un rapport de mars.
« Le niveau de sophistication de ses opérateurs de ransomware compétents et sa réticence à recruter ou à faire de la publicité sur les forums du Dark Web expliquent pourquoi beaucoup soupçonnent le nouveau Black Basta d’être même une nouvelle marque du groupe de menace russophone RaaS Conti, ou également lié à d’autres. Groupes de cybermenaces russophones.
En outre, Black Basta a également été lié au groupe de piratage russophone FIN7, un groupe de cybercriminalité bien connu à motivation financière, actif depuis au moins 2015, également suivi sous le nom de Carbanak.
Depuis son apparition, ce gang de ransomwares a infiltré et extorqué de nombreuses victimes de premier plan, notamment l’American Dental Association, Sobeys, Knauf, Pages Jaunes Canada, la Bibliothèque publique de Toronto et l’entrepreneur allemand de défense Rheinmetall.
La liste des victimes de Black Basta comprend également Capita, une société britannique d’externalisation technologique qui gagne des milliards de dollars grâce aux contrats du gouvernement britannique, et ABB, une société d’automatisation industrielle et sous-traitant du gouvernement américain, dont les revenus dépassent 29 milliards de dollars. Aucun d’eux n’a révélé publiquement s’ils avaient payé les rançons de Black Basta.