Black Basta
Black Basta’s operational methods highlighted their adaptability and willingness to exploit both technical vulnerabilities and human factors to achieve their goals. Understanding these tactics can help organizations bolster their defenses against such sophisticated threats.
Der Ursprung der Black Basta
Black Basta was a financially motivated ransomware group active from early 2022 until January 2025, known for high-impact double extortion operations targeting organizations across North America, Europe, and Asia. The group compromised corporate networks to deploy ransomware payloads, exfiltrated sensitive data, and pressured victims into paying multimillion-dollar ransoms under threat of public leaks.
Black Basta often leveraged:
- Erstmaliger Zugriff über gestohlene Anmeldeinformationen, Malspam oder Remote-Desktop-Exposition
- Cobalt Strike, Brute Ratel und kundenspezifische Lader für seitliche Bewegung
- Tools wie Mimikatz, RClone und PSExec für das Dumping von Anmeldeinformationen und die Datenexfiltration
- Veröffentlichung exfiltrierter Daten auf ihrer Leak-Site für Erpressung
The group has exhibited ties to advanced infrastructure management, including SOCKS proxy layers, phishing infrastructure, and modular tooling. It maintained Russian-language internal communications and coordinates through Matrix channels, often collaborating with affiliates or brokers.
Black Basta wurde mit Angriffen auf kritische Infrastrukturen, das Gesundheitswesen, die Justiz und die Industrie in Verbindung gebracht. Sie gilt als eine der aktivsten und am besten strukturierten ransomware des Jahres 2024.
Von Blackbasta betroffene Länder
Black Basta's operations spun multiple regions, with significant incidents reported in the United States, Germany, the United Kingdom, Canada, and Australia. These regions are often targeted due to their high-value industries and critical infrastructure.
Zielbranchen von Blackbasta
Black Basta hat ein breites Spektrum von Branchen ins Visier genommen, insbesondere den Sektor Gesundheitswesen und öffentliche Gesundheit (HPH) aufgrund seiner kritischen Natur und seiner Abhängigkeit von der Technologie. Weitere betroffene Sektoren sind das Finanzwesen, die verarbeitende Industrie und die Informationstechnologie.
Die Opfer von Blackbasta
More than 521 victims were targeted by Black Basta between April 2022 and January 2025.
Blackbasta's Angriffsmethode
Black Basta affiliates typically used spearphishing emails and exploit known vulnerabilities such as CVE-2024-1709. They have also been known to abuse valid credentials to gain initial access.
Tools like Mimikatz were used for credential scraping, while vulnerabilities such as ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287), and PrintNightmare (CVE-2021-34527) were exploited to escalate privileges.
The group employed masquerading tactics by using innocuous file names, such as Intel or Dell. They also deployed tools like Backstab to disable endpoint detection and response (EDR) systems, and use PowerShell to disable antivirus products.
Black Basta affiliates used credential scraping tools like Mimikatz and exploited known vulnerabilities to gain administrative access and escalate privileges within the network.
Network scanning tools such as SoftPerfect Network Scanner were used to map out the network and identify key systems and data stores.
The group used tools like BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect, and Cobalt Strike to move laterally across networks.
Before encryption, data was collected and prepared for exfiltration. This involved compressing files or staging data in preparation for transfer.
Tools such as RClone were used to exfiltrate data to actor-controlled servers.
The ransomware encrypted files using a ChaCha20 algorithm with an RSA-4096 public key, adding a .basta or random extension to file names. Ransom notes left on compromised systems instructed victims to contact the group via a Tor site.
Black Basta affiliates typically used spearphishing emails and exploit known vulnerabilities such as CVE-2024-1709. They have also been known to abuse valid credentials to gain initial access.
Tools like Mimikatz were used for credential scraping, while vulnerabilities such as ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287), and PrintNightmare (CVE-2021-34527) were exploited to escalate privileges.
The group employed masquerading tactics by using innocuous file names, such as Intel or Dell. They also deployed tools like Backstab to disable endpoint detection and response (EDR) systems, and use PowerShell to disable antivirus products.
Black Basta affiliates used credential scraping tools like Mimikatz and exploited known vulnerabilities to gain administrative access and escalate privileges within the network.
Network scanning tools such as SoftPerfect Network Scanner were used to map out the network and identify key systems and data stores.
The group used tools like BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect, and Cobalt Strike to move laterally across networks.
Before encryption, data was collected and prepared for exfiltration. This involved compressing files or staging data in preparation for transfer.
Tools such as RClone were used to exfiltrate data to actor-controlled servers.
The ransomware encrypted files using a ChaCha20 algorithm with an RSA-4096 public key, adding a .basta or random extension to file names. Ransom notes left on compromised systems instructed victims to contact the group via a Tor site.
TTPs verwendet von Black Basta
How to Detect Threat Actors with Vectra AI
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.
Häufig gestellte Fragen
Was ist Blackbasta Ransomware?
Blackbasta ist eine raffinierte ransomware Gruppe, die im April 2022 auftauchte. Sie wenden eine doppelte Erpressungstaktik an, indem sie die Daten der Opfer verschlüsseln und drohen, sensible Informationen freizugeben, wenn das Lösegeld nicht gezahlt wird.
Wie verschafft sich Blackbasta normalerweise den ersten Zugang zu einem Netzwerk?
Blackbasta verschafft sich den ersten Zugang oft durch phishing E-Mails mit bösartigen Anhängen oder Links, durch das Ausnutzen von Schwachstellen in öffentlich zugänglichen Anwendungen, durch bösartige Werbung oder Drive-by-Downloads.
Welche Branchen sind am häufigsten Ziel von Blackbasta?
Blackbasta richtet sich an eine Vielzahl von Branchen, darunter das Gesundheitswesen, die verarbeitende Industrie, das Finanzwesen, der Rechtsbereich, das Bildungswesen, die Regierung und die Informationstechnologie.
Welche Länder sind am stärksten von Blackbasta-Angriffen betroffen?
Blackbasta richtet sich in erster Linie an Unternehmen in den Vereinigten Staaten, Kanada, Großbritannien, Deutschland, Frankreich und Australien, ist jedoch weltweit tätig.
Was sind einige der bekannten Taktiken, Techniken und Verfahren (TTPs), die von Blackbasta verwendet werden?
Blackbasta verwendet verschiedene TTPs wie phishing (T1566), Befehls- und Skript-Interpreter (T1059), Credential Dumping (T1003), Deaktivierung von Sicherheitstools (T1562) und verschlüsselte Daten (T1486).
Wie kann Blackbasta die Privilegien innerhalb eines kompromittierten Netzwerks erweitern?
Blackbasta erweitert seine Privilegien, indem er ungepatchte Software-Schwachstellen ausnutzt und Tools wie Mimikatz verwendet, um Anmeldedaten aus dem Speicher zu extrahieren.
Welche Methoden verwendet Blackbasta, um sich der Entdeckung zu entziehen?
Blackbasta verwendet Verschleierungstechniken, deaktiviert Sicherheitstools, setzt LotL-Taktiken (Living off the Land) ein und nutzt legitime Software und Tools, um die Entdeckung zu umgehen.
Wie bewegt sich Blackbasta seitlich in einem Netzwerk?
Blackbasta verwendet das Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) und Remote Services, um sich innerhalb eines Netzwerks zu bewegen.
Was sind die typischen Phasen eines Blackbasta ransomware Angriffs?
Die Phasen umfassen den Erstzugriff, die Ausweitung der Rechte, die Umgehung der Verteidigung, den Zugriff auf Anmeldeinformationen, die Entdeckung, die seitliche Bewegung, die Erfassung, die Ausführung, die Exfiltration und die Auswirkungen.
Welche Präventivmaßnahmen können Unternehmen ergreifen, um sich vor Blackbasta ransomware zu schützen?
Unternehmen können sich vor Blackbasta schützen, indem sie robuste E-Mail-Filter implementieren, Schwachstellen umgehend beheben, eine Multi-Faktor-Authentifizierung verwenden, regelmäßige Sicherheitsschulungen für Mitarbeiter durchführen, auf ungewöhnliche Aktivitäten achten, Backups auf dem neuesten Stand halten und erweiterte Erkennungs- und Reaktionssysteme (Extended Detection and Response, XDR) einsetzen, um Bedrohungen schnell zu erkennen und auf sie zu reagieren.