En viktig bidragande faktor bakom populariteten är att Black Basta är oerhört lättillgänglig och går att köpas färdigpaketerad som en tjänst (Ransomware-as-a-Service, RaaS). Utvecklaren bakom den skadliga koden tillhandahåller hela infrastrukturen, där den som vill använda Black Basta betalar en summa och får allt från teknisk support till betalningshantering på köpet. Black Basta-utvecklaren får sedan en del av kakan när någon av dem som köpt tjänsten lyckas få ett offer att betala lösensumma.

Därmed kan nätkriminella utan större teknisk kunskap snabbt skaffa sig möjligheten att attackera en organisation med ransomware.

– Att det går att köpa skadlig kod som ransomware och annat på nätets mer ljusskygga platser är inte något nytt, men vi ser att det är något som ökar mer och mer. Att man inte längre behöver ha några tekniska kunskaper för att iscensätta ett storskaligt angrepp sänker naturligtvis ribban och är en av orsakerna till att vi ser den här typen av attacker allt oftare, säger Andreas Gotthardsson, Director Systems Engineering på Fortinet i Sverige.

Under första halvåret 2022 identifierade Fortinets cybersäkerhetsteam Fortiguard Labs 10 666 nya varianter av ransomware, jämfört med ”bara” 5400 under det andra halvåret 2021. Den snabba utvecklingen inom Ransomware-as-a-Service anses vara den främsta anledningen. Black Basta var en av de nya varianterna som upptäcktes i början av förra året, i samband med att ett amerikanskt företag blev dess första kända offer. Sedan dess har ransomware-varianten observerats allt mer frekvent. Bland annat påstås Black Basta i slutet av 2022 infekterat en amerikansk statlig organisation och ett amerikanskt företag inom flyg- och försvarsindustrin.

Black Basta anses vara en efterföljare till den tidigare så vanligt förekommande ransomware-varianten Conti, som under förra året var den näst vanligaste ransomware-varianten efter LockBit. Det finns också den del som tyder på att det finns ett potentiellt samband mellan Black Basta och hotaktören Fin7 eftersom båda använder sig av liknande taktik och utförande.

Innan Black Basta skickas ut till komprometterade nätverk installerar och konfigurerar angriparna filöverföringsverktyget "RClone" – ett verktyg baserat på öppen källkod och med syftet att stjäla den data som samlats in. De stulna uppgifterna används sedan som en del i en slags dubbel utpressning, där man hotar att läcka filerna om offret vägrar att betala lösensumman.

Black Basta riktade till en början enbart in sig på Windows-plattformen. Under 2022 släppte utvecklaren dock en ny variant, anpassad för att kunna attackera virtualiserade ESXi-system. Version 2.0 av Black Basta ska enligt uppgift också innehålla en ny krypteringsalgoritm.