Black Basta adalah geng ransomware terbaru yang menambahkan dukungan untuk mengenkripsi mesin virtual (VM) VMware ESXi yang berjalan di server Linux perusahaan.
Sebagian besar grup ransomware sekarang memfokuskan serangan mereka pada VM ESXi karena taktik ini selaras dengan penargetan perusahaan mereka. Ini juga memungkinkan untuk memanfaatkan enkripsi yang lebih cepat dari beberapa server dengan satu perintah.
Mengenkripsi VM masuk akal karena banyak perusahaan baru-baru ini bermigrasi ke mesin virtual karena memungkinkan pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang jauh lebih efisien.
Dalam sebuah laporan baru, analis Uptycs Threat Research mengungkapkan bahwa mereka melihat binari ransomware Black Basta baru yang secara khusus menargetkan server VMWare ESXi.
Encryptor ransomware Linux bukanlah hal baru, dan BleepingComputer telah melaporkan encryptor serupa yang dirilis oleh beberapa geng lain, termasuk LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX, dan Hive.
Seperti encryptor Linux lainnya, biner ransomware Black Basta akan mencari /vmfs/volumes tempat mesin virtual disimpan di server ESXi yang disusupi (jika tidak ada folder seperti itu yang ditemukan, ransomware akan keluar).
Ransomware menggunakan algoritma ChaCha20 untuk mengenkripsi file. Ini juga memanfaatkan multithreading untuk menggunakan banyak prosesor dan mempercepat proses enkripsi.
Saat mengenkripsi, ransomware akan menambahkan ekstensi .basta ke nama file terenkripsi dan membuat catatan tebusan bernama readme.txt di setiap folder.
Catatan tersebut menyertakan tautan ke panel dukungan obrolan dan ID unik yang dapat digunakan korban untuk berkomunikasi dengan penyerang.
“Berdasarkan tautan dukungan obrolan dan ekstensi file terenkripsi, kami percaya bahwa aktor di balik kampanye ini adalah sama yang menargetkan sistem Windows sebelumnya dengan ransomware Black Basta.”
Ransomware Black Basta pertama kali terlihat di alam liar pada minggu kedua bulan April, saat operasi tersebut dengan cepat meningkatkan serangannya yang menargetkan perusahaan di seluruh dunia.
Meskipun tuntutan tebusan geng cenderung bervariasi antara korban, BleepingComputer tahu setidaknya satu yang menerima permintaan lebih dari $ 2 juta untuk decryptor dan untuk menghindari kebocoran data online.
Meskipun tidak banyak lagi yang diketahui tentang geng ransomware baru, ini mungkin bukan operasi baru melainkan perubahan citra karena kemampuan mereka yang ditunjukkan untuk dengan cepat menembus korban baru dan gaya negosiasi (mungkin perubahan citra operasi ransomware Conti).
CTO Emsisoft Fabian Wosar sebelumnya telah memberi tahu bahwa geng ransomware lain (selain yang kami laporkan), termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, Snatch, PureLocker, dan DarkSide, juga telah mengembangkan dan menggunakan enkripsi Linux mereka sendiri.
Sumber: Bleeping Computer