Виртуальные машины VMware ESXi в Linux стали мишенью Black Basta, которая разработала новые двоичные файлы, предназначенные для шифрования экземпляров Linux. Аналитики обнаружили, что тома /vmfs/, содержащие виртуальные машины на скомпрометированных серверах, сканируются двоичным кодом программы Black Basta и далее шифруется с помощью алгоритма ChaCha20. Затем к зашифрованным именам файлов добавляется расширение .basta, а заметки о выкупе будут создаваться в каждой папке.
Black Basta впервые была замечена в этом году в апреле месяце, когда атаки были нацелены на системы Windows. Создание Black Basta шифровальщика для Linux произошло после того, как другие группы вымогателей, включая DarkSide, Babuk, PureLocker, Mespinoza, Snatch, GoGoogle и RansomExx/Defray, разработали свои собственные шифраторы.