- Nhóm tấn công sử dụng mã độc ransomware có tên Black Basta bắt đầu hoạt động kể từ tháng 04/2022 dưới hình thức tấn công Ransomware (RaaS), nhóm chủ yếu nhằm vào các doanh nghiệp toàn cầu bằng hình thức tấn công tống tiền kép và đã thu về ít nhất 100 triệu đô từ các khoản tiền chuộc do hơn 90 đơn vị cung cấp.

Hơn 329 đơn vị trên toàn cầu đã trở thành nạn nhân của chiến dịch tấn công do nhóm này thực hiện bằng hình thức tống tiền kép, một hình thức mà nhóm tấn công đánh cắp dữ liệu nhạy cảm từ hệ thống bị ảnh hưởng bởi mã độc trước khi triển khai ransomware lên hệ thống mạng để mã hóa dữ liệu của người dùng.

Những dữ liệu bị đánh cắp sau đó được sử dụng để ép người dùng phải chi trả tiền chuộc nếu không sẽ bị đăng lên trang web trái phép. Dựa theo con số thu thập từ phân tích của các chuyên gia bảo mật, ít nhất 35% đơn vị bị ảnh hưởng bởi Black Basta đã chịu trả khoản tiền chuộc.

Nhóm tấn công Conti ngừng hoạt động vào tháng 06/2022 sau khi bị phát hiện, các thành viên đã tách ra thành các nhóm nhỏ, một trong số đó được cho là Black Basta.

Theo nhận định từ các chuyên gia bảo mật, việc nhóm này đã nhằm vào ít nhất 20 đơn vị trong 2 tuần hoạt động đầu tiên cho thấy rằng nhóm có kinh nghiệm về việc sử dụng ransomware và có một nguồn truy cập đầu vào ổn định; cũng như việc các đối tượng điều khiển mã độc trong nhóm này có kĩ năng tinh vi, thành thạo và sự miễn cưỡng tuyển dụng hay quảng cáo trên các diễn đàn Dark Web càng củng cố khả năng Black Basta là một phần của Conti.

Ngoài ra, Black Basta cũng đã được gán với nhóm APT FIN7, một nhóm tội phạm không gian mạng với động cơ tài chính khét tiếng hoạt động từ năm 2015.

Kể từ khi đi vào hoạt động, Black Basta đã xâm nhập và tống tiền, dữ liệu từ các đơn vị có tiếng như: Sobeys, Knauf, Yellow Pages Canada, Capita...

PV