Urutan penyerang kelompok ransomware selalu berubah dan berkembang, dengan kelompok-kelompok yang paling agresif dan ceroboh mendapatkan pembayaran besar dari target yang rentan – tetapi seringkali akhirnya gagal. Kelompok berbahasa Rusia Black Basta adalah contoh terbaru dari tren yang terhenti dalam beberapa bulan terakhir karena tindakan penegakan hukum dan kebocoran yang merugikan. Tetapi setelah beberapa minggu yang sepi, para peneliti memperingatkan bahwa, jauh dari mati dan hilang, para pelaku yang terlibat dengan Black Basta akan muncul kembali dalam kelompok-kelompok cybercrime lainnya – atau mungkin sudah melakukannya – untuk memulai siklus sekali lagi.
Sejak muncul pada April 2022, Black Basta telah menghasilkan ratusan juta dolar dalam pembayaran dengan menargetkan sejumlah korban korporat di sektor kesehatan, infrastruktur kritis, dan industri-industri dengan risiko tinggi lainnya. Kelompok ini menggunakan ancaman ganda untuk memaksa target membayar uang tebusan – mencuri data dan mengancam untuk membocorkannya sambil juga mengenkripsi sistem target untuk menyandera mereka. Badan Keamanan Siber dan Infrastruktur AS memperingatkan tahun lalu bahwa Black Basta telah melakukan serangan menyasar lebih dari 500 organisasi di Amerika Utara, Eropa, dan Australia.
Operasi besar penegakan hukum internasional pada tahun 2023 terhadap botnet “Qakbot” menghambat operasi Black Basta. Dan, bulan Februari ini, kebocoran besar data internal kelompok itu – termasuk log percakapan dan informasi operasional – mengguncang kelompok itu. Sejak saat itu, mereka telah menjadi tidak aktif. Para peneliti memperingatkan, bagaimanapun, bahwa para penjahat di balik Black Basta sudah bergerak dan hampir pasti akan mengalami kebangkitan.
“Kami belum melihat pemimpin Black Basta berkumpul kembali, tetapi mereka akan terus bekerja, mereka akan terus beroperasi,” kata Allan Liska, seorang analis intelijen ancaman yang fokus pada ransomware di perusahaan keamanan Recorded Future. “Masih banyak uang di dalamnya. Dan para pelaku ransomware adalah makhluk kebiasaan seperti siapa pun.”
Kebocoran itu mengungkapkan rincian tentang malware dan kemampuan teknis Black Basta, perselisihan internalnya, dan petunjuk tentang identitas para aktor di balik kelompok itu, terutama administrator utamanya. Data yang terbuka berasal dari apa yang mungkin dianggap sebagai masa kejayaan Black Basta, September 2023 hingga September 2024. Selama periode ini, kelompok ini tidak ragu-ragu dari kemungkinan menyebabkan kerugian dengan serangannya. Serangan yang sangat agresif tahun lalu terhadap jaringan kesehatan Ascension yang berbasis di St. Louis, misalnya, dilaporkan menyebabkan gangguan dalam pelayanan, termasuk ambulans yang dialihkan.
Namun, Black Basta kesulitan untuk mempertahankan momentumnya setelah penggagalan Qakbot 2023, yang dikenal sebagai Operasi Duck Hunt.
“Ini adalah pukulan besar bagi mereka, dan mereka mencoba untuk bangkit kembali – menggunakan botnet lain, bekerja pada botnet kustom, tetapi itu tidak benar-benar berhasil, dan pada akhirnya tingkat infeksi mereka menurun,” kata Yelisey Bohuslavskiy, kepala peneliti dari perusahaan intelijen ancaman RedSense. “Mereka memiliki sedikit target dan semakin sedikit jaringan yang masuk. Mereka masih berbahaya, tetapi ada perasaan bahwa ada penurunan yang sedang terjadi.”
Bahkan dalam penurunan ini, ada bukti bahwa Black Basta mencoba untuk melakukan kebangkitan. Selain menjelajahi malware baru, geng ini mulai fokus pada meretas target melalui teknik sosial dan kampanye pengaruh, khususnya operasi email spam dan penipuan dukungan teknis. Tetapi setelah kebocoran itu, kata Bohuslavskiy, anggota mulai bergabung dengan kelompok-kelompok lain dan sudah mulai menyokong geng baru mereka.
Seperti dalam industri apa pun, lanskap kriminal Siber Rusia penuh dengan orang-orang yang telah bekerja bersama atau bersaing melawan satu sama lain selama bertahun-tahun. Black Basta mampu menetapkan diri dengan cepat karena banyak anggotanya terlibat dalam operasi kejahatan Siber sebelumnya, termasuk geng kejahatan Siber lama Conti. Conti adalah kelompok yang terkenal karena insiden kebocoran internal lain pada tahun 2022 yang mengungkapkan cara kerjanya dan hubungannya dengan Kremlin. Setelah kejatuhan Conti, para peneliti melacak anggotanya saat mereka tersebar dan memulai kelompok peretasan baru, termasuk Black Basta.