Black Basta Ransomware IOCs

ransomware IOC
Опубликовано

Первые известные атаки Black Basta произошли на второй неделе апреля, так как эта операция быстро начала атаковать компании по всему миру.

Хотя требования о выкупе, вероятно, варьируются в зависимости от жертвы.

О новой банде вымогателей известно не так много, поскольку они не начали рекламировать свою деятельность или набирать партнеров на хакерских форумах.

Однако, судя по их способности быстро набирать новых жертв и стилю ведения переговоров, это, скорее всего, не новая операция, а ребрендинг предыдущей высококлассной банды вымогателей, которая привела с собой своих партнеров.

Black Basta

Как и другие нацеленные на предприятия вымогательские программы, Black Basta похищает корпоративные данные и документы перед шифрованием устройств компании.

Эти украденные данные затем используются в атаках с двойным вымогательством, где угрожающие субъекты требуют выкуп, чтобы получить дешифратор и предотвратить публикацию украденных данных жертвы.

Часть этих атак, связанная с вымогательством данных, проводится на Tor-сайте 'Black Basta Blog' или 'Basta News', где содержится список всех жертв, не заплативших выкуп. Black Basta постепенно сливает данные о каждой жертве, пытаясь заставить их заплатить выкуп.

Сайт утечки данных Black Basta в настоящее время содержит страницы утечки данных десяти компаний, которые они взломали. Однако BleepingComputer знает о других жертвах, которые в настоящее время не указаны на сайте утечки данных.

Самая последняя жертва - компания Deutsche Windtechnik, которая подверглась кибератаке 11 апреля, но не сообщила, что это была атака с использованием выкупа.

Вчера на сайте утечки данных также начали появляться данные Американской стоматологической ассоциации, которая подверглась атаке 22 апреля, но с тех пор эта страница была удалена. Удаление страницы свидетельствует о том, что компания ведет переговоры с субъектами угрозы.

При запуске шифровальщик Black Basta должен быть запущен с правами администратора, иначе он не будет шифровать файлы. После запуска шифровальщик удаляет теневые копии томов с помощью следующей команды:

C:\Windows\system32\cmd.exe /c C:\Windows\SysNative\vssadmin.exe delete shadows /all /quiet

Затем он перехватывает существующую службу Windows и использует ее для запуска исполняемого файла шифровальщика выкупа. В наших тестах в качестве службы Windows, которая была захвачена, использовалась служба 'Fax', как показано ниже.

Программа-вымогатель также изменит обои и отобразит сообщение: "Ваша сеть зашифрована группой Black Basta. Инструкции в файле readme.txt".

Теперь программа-вымогатель перезагрузит компьютер в безопасный режим с сетевым подключением, где запустится взломанная служба Windows и автоматически начнет шифровать файлы на устройстве.

Для шифрования файлов используется алгоритм ChaCha20. Ключ шифрования ChaCha20 затем шифруется с помощью открытого ключа RSA-4096, включенного в исполняемый файл.

При шифровании файлов программа-вымогатель добавляет расширение .basta к имени зашифрованного файла. Так, например, файл test.jpg будет зашифрован и переименован в test.jpg.basta.

Для отображения пользовательского значка, связанного с расширением .basta, программа-вымогатель создает пользовательское расширение в реестре Windows и связывает значок с произвольно названным ICO-файлом в папке %Temp%. Этот пользовательский значок очень похож на тот, который используется приложением icy.tools.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta\DefaultIcon]
@="C:\\\Windows\\\TEMP\\\fkdjsadasd.ico"

В каждой папке на зашифрованном устройстве ransomware создаст файл readme.txt, содержащий информацию об атаке, а также ссылку и уникальный ID, необходимый

Переговорный сайт Tor называется "Chat Black Basta" и содержит только экран входа в систему и веб-чат, который можно использовать для переговоров с субъектами угрозы.

Угрожающие лица используют этот экран для отправки приветственного сообщения, содержащего требование выкупа, угрозу утечки данных, если оплата не будет произведена в течение семи дней, и обещание предоставить отчет о безопасности после уплаты выкупа.

Судя по тому, как быстро Black Basta набирает жертв и стилю их переговоров, это, скорее всего, ребрендинг опытной компании.

Одна из теорий, обсуждавшихся исследователем безопасности MalwareHunterTeam и этим автором, заключается в том, что Black Basta - это, возможно, предстоящий ребрендинг операции Conti ransomware.

В последние два месяца Conti находится под пристальным вниманием после того, как украинский исследователь слил в сеть сокровищницу частных разговоров и исходный код вымогательского ПО.

В связи с этим возникло предположение, что Conti проведет ребрендинг своей операции, чтобы скрыться от правоохранительных органов, и начнет ее под другим именем.

Хотя шифровальщик Black Basta сильно отличается от шифровальщика Conti, MalwareHunterTeam считает, что в их стиле ведения переговоров и дизайне веб-сайта есть много общего.

Indicators of Compromise

Domains

  • aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion

MD5

  • 3f400f30415941348af21d515a2fc6a3

SHA1

  • bd0bf9c987288ca434221d7d81c54a47e913600a

SHA256

  • 5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa
Похожие записи:
  1. Black Basta Ransomware IOCs - Part 3
  2. Black Basta Ransomware IOCs - Part 4
  3. BlackBasta Ransomware IOCs - Part 4
  4. Black Basta Ransomware IOCs - Part 6
  5. Black Basta Ransomware / FIN7 IOCs
Black Basta Ransomware
Добавить комментарий