Black Basta Ransomware - это новый штамм ransomware, обнаруженный в апреле 2022 года. Несмотря на то, что группа действует всего два месяца, она уже стала известной, приписав себе около 50 жертв на момент публикации этого отчета.
Несмотря на то, что Black Basta появилась в апреле, ее деятельность началась еще в феврале 2022 года, согласно некоторым данным о времени компиляции и повороте связанных файлов. В то время у ransomware не было названия (точнее, "no_name_software"), что позволяло предположить, что она все еще находится в разработке.
Позже, в апреле, операторы начали использовать ransomware для атак на жертв. Время было выбрано не случайно: 20 апреля 2022 года пользователь под ником BlackBasta разместил на подпольных форумах XSS[.]IS и EXPLOIT[.]IN сообщение, предназначенное для покупки и монетизации доступа к корпоративным сетям за долю прибыли.
Black Basta Ransomware
- Всего за два месяца банда Black Basta добавила в свой список почти 50 жертв, что делает ее одной из самых известных программ-вымогателей за последнее время.
- Нацелен на VMware ESXi: Linux-вариант Black Basta нацелен на виртуальные машины (ВМ) VMware ESXi, работающие на корпоративных Linux-серверах.
- Высокая степень тяжести: Команда Cybereason Nocturnus Team оценивает уровень угрозы как ВЫСОКИЙ, учитывая разрушительный потенциал атак.
- Нацеленность на англоязычные страны: Black Basta специально нацелена на следующие страны: США, Канада, Великобритания, Австралия и Новая Зеландия.
- Широкий спектр отраслей: Black Basta была замечена в атаках на различные отрасли промышленности, включая производство, строительство, транспорт, телекоммуникации, фармацевтику, косметику, водопровод и отопление, автомобильных дилеров, производителей нижнего белья и т.д.
- Атака с участием человека: Перед развертыванием ransomware злоумышленники пытаются проникнуть в организацию и продвинуться по ней, осуществляя полностью разработанную атаку RansomOps.
Indicators of Compromise
URLs
- https://stniiomyjliimcgkvdszvgen3eaaoz55hreqqx6o77yvmpwt7gklffqd.onion
- https://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion
SHA256
- 0d6c3de5aebbbe85939d7588150edf7b7bdc712fceb6a83d79e65b6f79bfc2ef
- 17205c43189c22dfcb278f5cc45c2562f622b0b6280dcd43cc1d3c274095eb90
- 19c2710e498d55f2e3a3d4126064e960058e32c99dc35944b3fc09aa0eec4754
- 1d040540c3c2ed8f73e04c578e7fb96d0b47d858bbb67e9b39ec2f4674b04250
- 3eb22320da23748f76f2ce56f6f627e4255bc81d09ffb3a011ab067924d8013b
- 5b6c3d277711d9f847be59b16fd08390fc07d3b27c7c6804e2170f456e9f1173
- 5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa
- 7883f01096db9bcf090c2317749b6873036c27ba92451b212b8645770e1f0b8a
- 96339a7e87ffce6ced247feb9b4cb7c05b83ca315976a9522155bad726b8e5be
- a54fef5fe2af58f5bd75c3af44f1fba22b721f34406c5963b19c5376ab278cd1
- ae7c868713e1d02b4db60128c651eb1e3f6a33c02544cc4cb57c3aa6c6581b6e
- c4fa34414fb1c199e13d7cd7def0e8f401c9649657a39224bc32310c9fd9d725
- c532d28f9700abba1a4803c3a9d886c8c4fb26f84cf2399c533d68cfdcec4fa7
- c5fcd0643823082941bc827613baf0fa574ffd9cb03a8b265d62d657367b2ea2
- daa049b15bb5c1d0aef06276f9940d2fea76242f1a01ebfe299a63b7c74f7ea0
- f132ffc8648d38833244e612c58224285e85e863a35c872490690217c082e59c