News
SentinelLabs analyse les techniques utilisées par le ransomware Black Basta et fait le lien avec les hackers de FIN7
novembre 2022 par SentinelLabs
SentinelLabs, la division de recherche de SentinelOne, vient de publier les résultats de ses recherches sur le ransomware Black Basta qui a mené plusieurs dizaines d’attaques ces derniers mois. Par ailleurs, les chercheurs en sécurité de SentinelLabs ont trouvé des preuves reliant le groupe de rançongiciels Black Basta à FIN7, un groupe de piratage à motivation financière, également connu sous le nom de « Carbanak ».
Le ransomware Black Basta, apparu en avril 2022, a attaqué plus de 90 entreprises et organisations en septembre 2022. La rapidité et le volume des attaques prouvent que les acteurs à l’origine de Black Basta sont bien organisés et disposent de ressources importantes.
Pourtant, rien n’indique que ce ransomware ait tenté de recruter des affiliés ou de faire sa promotion en tant que RaaS sur les forums habituels du darknet. Cette posture a donné lieu à de nombreuses spéculations sur son origine, son identité et son fonctionnement. SentinelLabs - qui a commencé à suivre les opérations de Black Basta au début du mois de juin après avoir remarqué des chevauchements entre des cas apparemment différents - estime qu’il est très probable que ce ransomware ait des liens avec FIN7. Plus précisément il semblerait que le développeur de ces outils d’évasion EDR est, ou ait été, un développeur de FIN7.
Les recherches menées par SentinelLabs indiquent que les personnes à l’origine de Black Basta développent et maintiennent leur propre boîte à outils et excluent les affiliés ou ne collaborent qu’avec un ensemble limité d’affiliés de confiance, de la même manière que d’autres groupes de ransomware "privés" tels que Conti, TA505 et Evilcorp.
.
