Nieuwe onderzoeken hebben verdere verbanden ontdekt tussen de Black Basta en Cactus ransomwarebendes. Leden van beide groepen maken gebruik van dezelfde social engineering-aanvallen en de BackConnect-proxy malware voor toegang na exploitatie tot bedrijfsnetwerken.

In januari ontdekte Zscaler een Zloader-malwaremonster met een mogelijk nieuwe DNS-tunnelingfunctie. Verder onderzoek door Walmart wees uit dat Zloader een nieuwe proxy malware genaamd BackConnect veroorzaakte, met codeverwijzingen naar de Qbot (QakBot) malware.

BackConnect is malware die fungeert als een proxytool voor externe toegang tot gecompromitteerde servers. BackConnect stelt cybercriminelen in staat om verkeer te tunnelen, hun activiteiten te verhullen en aanvallen binnen de omgeving van een slachtoffer te escaleren zonder gedetecteerd te worden.

Zowel Zloader, Qbot als BackConnect worden allemaal geacht verband te houden met de Black Basta ransomware-operatie, waarbij leden de malware gebruiken om bedrijfsnetwerken binnen te dringen en zich te verspreiden.

Deze banden worden verder versterkt door een recente BlackBasta-gegevenslek die interne gesprekken van de operatie blootlegde, inclusief degene tussen de manager van de ransomware-bende en iemand die vermoedelijk de ontwikkelaar van Qbot is.

### De verbanden

Black Basta is een ransomwarebende die in april 2022 werd gelanceerd. Er wordt aangenomen dat het leden van de Conti Ransomware-bende omvat, die in mei 2022 werd ontmanteld na een enorm datalek van broncode en interne gesprekken.

Historisch gezien heeft de ransomware-bende Qakbot gebruikt om initiële toegang te krijgen tot bedrijfsnetwerken. Na een rechtshandhavingsoperatie in 2023 die de operaties van Qbot verstoorde, heeft Black Basta naar alternatieve malware gezocht om netwerken binnen te dringen.

De verschuiving naar BackConnect van de groep suggereert dat ze nog steeds samenwerken met de ontwikkelaars verbonden aan de Qbot-operatie.

In een nieuw rapport van Trend Micro hebben onderzoekers ontdekt dat de Cactus ransomware-groep ook BackConnect gebruikt bij aanvallen, wat wijst op een potentiële overlap in leden tussen beide groepen.

Bij de Black Basta en Cactus-aanvallen die door Trend Micro zijn waargenomen, gebruikten de aanvallers dezelfde social engineering-aanval door een doelwit te bombarderen met een overweldigend aantal e-mails, een tactiek die doorgaans wordt geassocieerd met Black Basta.

De aanvallers zouden dan contact opnemen met het doelwit via Microsoft Teams, zich voordoend als een IT-helpdeskemployé, en uiteindelijk het slachtoffer misleiden om op afstand toegang te geven via Windows Quick Assist.

Hoewel de aanvalsstromen voor de Black Basta en Cactus-aanvallen niet identiek zijn, waren ze zeer vergelijkbaar. Trend Micro ontdekte dat de Cactus-dreigingsactor gebruik maakte van command-and-control-servers die meestal worden geassocieerd met Black Basta.

Cactus ransomware dook op in het begin van 2023 en heeft sindsdien een scala aan organisaties aangevallen met tactieken vergelijkbaar met die van Black Basta.

Eerder rapportage van BleepingComputer over Cactus toonde ook verbanden tussen de twee ransomwarebendes, waarbij Cactus een PowerShell-script genaamd TotalExec gebruikte dat vaak werd gezien in Black Basta ransomware-aanvallen.

Bovendien adopteerde de Black Basta ransomware-bende een encryptieroutine die aanvankelijk uniek was voor Cactus ransomware-aanvallen, wat de banden tussen beide groepen verder versterkt.

Het gedeelde gebruik van tactieken, BackConnect en andere operationele overeenkomsten, roept vragen op of Cactus ransomware een rebranding is van Black Basta of simpelweg een overlap tussen leden.

BleepingComputer heeft echter vernomen dat Black Basta sinds december 2024 langzaam aan het verdwijnen is, met hun leksite offline gedurende het grootste deel van 2025.

Er wordt aangenomen dat veel van de Black Basta-leden al begonnen waren te verhuizen naar andere ransomware-bendes, zoals Cactus, waarbij het recente datalek de laatste nagel aan de doodskist was.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----