En vigtig medvirkende faktor bag dens popularitet er, at Black Basta er ekstremt let tilgængelig og kan købes fuldt pakket som en tjeneste (Ransomware-as-a-Service, RaaS). Udvikleren bag den ondsindede kode sørger for hele infrastrukturen, hvor den, der vil bruge Black Basta, betaler en sum og får alt fra teknisk support til betalingsbehandling med i købet. Black Basta-udvikleren får så en del af kagen, når det lykkes en af dem, der har købt tjenesten, at få et offer til at betale løsesummen.

Således kan cyberkriminelle uden megen teknisk viden hurtigt få mulighed for at angribe en virksomhed eller organisation med ransomware.

- At det er muligt at købe ondsindet kode som ransomware og andet på nettets mere lyssky steder er ikke noget nyt, men vi ser, at det er noget, der stiger mere og mere. At man ikke længere behøver at have nogen teknisk viden for at iscenesætte et storstilet angreb sænker naturligvis barren og er en af grundene til, at vi ser denne type angreb oftere og oftere, siger Andreas Gotthardsson, Director Systems Engineering hos den amerikanske it-sikkerhedsvirksomhed Fortinet.

I første halvdel af 2022 identificerede Fortinets cybersikkerhedsteam Fortiguard Labs 10.666 nye varianter af ransomware, sammenlignet med "kun" 5.400 i anden halvdel af 2021. Den hurtige udvikling af Ransomware-as-a-Service menes at være hovedårsagen. Black Basta var en af de nye varianter, der blev opdaget i begyndelsen af sidste år, hvor et amerikansk firma blev dets første kendte offer. Siden da er ransomware-varianten blevet observeret mere og mere hyppigt. Blandt andet skulle Black Basta angiveligt have inficeret en amerikansk regeringsorganisation og en amerikansk virksomhed i rumfarts- og forsvarsindustrien i slutningen af 2022.

Black Basta betragtes som en efterfølger til den tidligere almindelige ransomware-variant Conti, som sidste år var den næstmest almindelige ransomware-variant efter LockBit. Der er også en del, der tyder på, at der er en potentiel forbindelse mellem Black Basta og trusselsaktøren Fin7, da begge anvender sammenlignelig taktik og udførelse.

Inden Black Basta sendes ud til kompromitterede netværk, installerer og konfigurerer angriberne filoverførselsværktøjet "RClone" – et open source-værktøj med det formål at stjæle de indsamlede data. De stjålne data bruges derefter som en del af en slags dobbelt afpresning, der truer med at lække filerne, hvis offeret nægter at betale løsesummen.

Black Basta målrettede oprindeligt kun Windows-platformen. I 2022 udgav udvikleren dog en ny variant, tilpasset til at kunne angribe virtualiserede ESXi-systemer. Version 2.0 af Black Basta vil angiveligt også indeholde en ny krypteringsalgoritme.