در یک مشاوره مشترک که توسط آژانس امنیت سایبری و امنیت زیرساخت (CISA)، اداره تحقیقات فدرال (FBI)، وزارت بهداشت و خدمات انسانی (HHS) و مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات چند ایالتی (MS-ISAC) منتشر شد. آژانس‌ها گفتند که عاملان تهدید، داده‌های حداقل 12 از 16 بخش زیرساخت حیاتی را رمزگذاری کرده و به سرقت برده‌اند.

در این گزارش آمده است: «شرکت‌های وابسته به Black Basta از تکنیک‌های دسترسی اولیه رایج مانند فیشینگ و بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده استفاده می‌کنند و سپس از یک مدل اخاذی مضاعف، هم سیستم‌های رمزگذاری و هم استخراج داده‌ها استفاده می‌کنند.

برخلاف سایر گروه‌های باج‌افزار، یادداشت‌های باج‌گیری که در پایان حمله حذف می‌شوند، حاوی درخواست باج اولیه یا دستورالعمل‌های پرداخت نیستند. در عوض، یادداشت‌ها یک کد منحصربه‌فرد به قربانیان می‌دهند و به آنها دستور می‌دهند که از طریق URL .onion با آنها تماس بگیرند.

Black Basta برای اولین بار در آوریل 2022 در طبیعت با استفاده از QakBot به عنوان بردار اولیه مشاهده شد و از آن زمان تاکنون به عنوان یک بازیگر باج افزار بسیار فعال باقی مانده است.

آمارهای جمع آوری شده توسط Malwarebytes نشان می دهد که این گروه به 28 مورد از 373 حمله باج افزار تایید شده که در آوریل 2024 روی داد، مرتبط بوده است. طبق گفته کسپرسکی، این گروه دوازدهمین خانواده فعال در سال 2023 بود.

blackBasta همچنین شاهد افزایش فعالیت در این گروه بوده است. سه ماهه اول 2024، افزایش 41 درصدی نسبت به سه ماهه.
شواهدی وجود دارد که نشان می‌دهد اپراتورهای Black Basta با یک گروه جرایم سایبری دیگر که به‌عنوان FIN7 ردیابی می‌شود، ارتباط دارند، که از سال 2020 به انجام حملات باج‌افزاری روی آورده است.