Первые известные атаки Black Basta произошли на второй неделе апреля, так как эта операция быстро начала атаковать компании по всему миру.
Хотя требования о выкупе, вероятно, варьируются в зависимости от жертвы.
О новой банде вымогателей известно не так много, поскольку они не начали рекламировать свою деятельность или набирать партнеров на хакерских форумах.
Однако, судя по их способности быстро набирать новых жертв и стилю ведения переговоров, это, скорее всего, не новая операция, а ребрендинг предыдущей высококлассной банды вымогателей, которая привела с собой своих партнеров.
Black Basta
Как и другие нацеленные на предприятия вымогательские программы, Black Basta похищает корпоративные данные и документы перед шифрованием устройств компании.
Эти украденные данные затем используются в атаках с двойным вымогательством, где угрожающие субъекты требуют выкуп, чтобы получить дешифратор и предотвратить публикацию украденных данных жертвы.
Часть этих атак, связанная с вымогательством данных, проводится на Tor-сайте 'Black Basta Blog' или 'Basta News', где содержится список всех жертв, не заплативших выкуп. Black Basta постепенно сливает данные о каждой жертве, пытаясь заставить их заплатить выкуп.
Сайт утечки данных Black Basta в настоящее время содержит страницы утечки данных десяти компаний, которые они взломали. Однако BleepingComputer знает о других жертвах, которые в настоящее время не указаны на сайте утечки данных.
Самая последняя жертва - компания Deutsche Windtechnik, которая подверглась кибератаке 11 апреля, но не сообщила, что это была атака с использованием выкупа.
Вчера на сайте утечки данных также начали появляться данные Американской стоматологической ассоциации, которая подверглась атаке 22 апреля, но с тех пор эта страница была удалена. Удаление страницы свидетельствует о том, что компания ведет переговоры с субъектами угрозы.
При запуске шифровальщик Black Basta должен быть запущен с правами администратора, иначе он не будет шифровать файлы. После запуска шифровальщик удаляет теневые копии томов с помощью следующей команды:
1 | C:\Windows\system32\cmd.exe /c C:\Windows\SysNative\vssadmin.exe delete shadows /all /quiet |
Затем он перехватывает существующую службу Windows и использует ее для запуска исполняемого файла шифровальщика выкупа. В наших тестах в качестве службы Windows, которая была захвачена, использовалась служба 'Fax', как показано ниже.
Программа-вымогатель также изменит обои и отобразит сообщение: "Ваша сеть зашифрована группой Black Basta. Инструкции в файле readme.txt".
Теперь программа-вымогатель перезагрузит компьютер в безопасный режим с сетевым подключением, где запустится взломанная служба Windows и автоматически начнет шифровать файлы на устройстве.
Для шифрования файлов используется алгоритм ChaCha20. Ключ шифрования ChaCha20 затем шифруется с помощью открытого ключа RSA-4096, включенного в исполняемый файл.
При шифровании файлов программа-вымогатель добавляет расширение .basta к имени зашифрованного файла. Так, например, файл test.jpg будет зашифрован и переименован в test.jpg.basta.
Для отображения пользовательского значка, связанного с расширением .basta, программа-вымогатель создает пользовательское расширение в реестре Windows и связывает значок с произвольно названным ICO-файлом в папке %Temp%. Этот пользовательский значок очень похож на тот, который используется приложением icy.tools.
1 2 3 4 5 6 | Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta\DefaultIcon] @="C:\\\Windows\\\TEMP\\\fkdjsadasd.ico" |
В каждой папке на зашифрованном устройстве ransomware создаст файл readme.txt, содержащий информацию об атаке, а также ссылку и уникальный ID, необходимый
Переговорный сайт Tor называется "Chat Black Basta" и содержит только экран входа в систему и веб-чат, который можно использовать для переговоров с субъектами угрозы.
Угрожающие лица используют этот экран для отправки приветственного сообщения, содержащего требование выкупа, угрозу утечки данных, если оплата не будет произведена в течение семи дней, и обещание предоставить отчет о безопасности после уплаты выкупа.
Судя по тому, как быстро Black Basta набирает жертв и стилю их переговоров, это, скорее всего, ребрендинг опытной компании.
Одна из теорий, обсуждавшихся исследователем безопасности MalwareHunterTeam и этим автором, заключается в том, что Black Basta - это, возможно, предстоящий ребрендинг операции Conti ransomware.
В последние два месяца Conti находится под пристальным вниманием после того, как украинский исследователь слил в сеть сокровищницу частных разговоров и исходный код вымогательского ПО.
В связи с этим возникло предположение, что Conti проведет ребрендинг своей операции, чтобы скрыться от правоохранительных органов, и начнет ее под другим именем.
Хотя шифровальщик Black Basta сильно отличается от шифровальщика Conti, MalwareHunterTeam считает, что в их стиле ведения переговоров и дизайне веб-сайта есть много общего.
Indicators of Compromise
Domains
- aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion
MD5
- 3f400f30415941348af21d515a2fc6a3
SHA1
- bd0bf9c987288ca434221d7d81c54a47e913600a
SHA256
- 5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa