Относительный новичок в 2022 году, группа Black Basta ransomware не теряет времени даром и делает себе имя, обновляя свой инструментарий и увеличивая число жертв по всему миру всего через несколько месяцев после того, как ее ransomware была впервые обнаружена.
Black Basta - это группа ransomware, работающая как ransomware-as-a-service (RaaS), которая была впервые замечена в апреле 2022 года. С тех пор она зарекомендовала себя как грозная угроза, о чем свидетельствует использование тактики двойного вымогательства и расширение арсенала атак за счет таких инструментов, как троян Qakbot и эксплойт PrintNightmare.
Обнаружение Black Basta ransomware в настоящее время незначительно, вероятно, потому, что она была обнаружена совсем недавно. Как и большинство современных программ-вымогателей, Black Basta использует более целенаправленный подход к выбору жертв, а не тактику "распыления". Однако скорость, с которой авторы вредоносного ПО расширили свой арсенал атак и разработали новую сборку для Linux, заслуживает дальнейшего расследования деятельности банды, стоящей за этим вымогательским ПО.
Ранее предполагалось, что для проникновения в сети своих жертв эта группа использует купленные или украденные учетные данные доступа к корпоративным сетям, однако проведенный компанией Trend Micro анализ другого набора образцов, отслеженных в течение 72 часов, показывает возможную взаимосвязь между трояном Qakbot и программой Black Basta ransomware. Black Basta продолжает развиваться, и в июне была обнаружена Linux-сборка этой программы-вымогателя, которая шифрует виртуальные машины VMware ESXi.
BlackBasta Ransomware IOCs
Indicators of Compromise
IPv4
- 23.106.160.188
IPv4 Port Combinations
- 103.246.242.230:443
- 113.89.5.177:995
- 148.0.57.82:443
- 167.86.165.191:443
- 172.105.88.234:4001
- 173.174.216.185:443
- 180.129.20.53:995
- 190.252.242.214:443
- 217.128.122.16:2222
- 24.178.196.44:2222
- 37.186.54.185:995
- 39.44.144.182:995
- 45.63.1.88:443
- 46.176.222.241:995
- 47.23.89.126:995
- 72.12.115.15:22
- 72.252.157.212:990
- 72.252.157.37:995
- 72.76.94.52:443
- 73.67.152.122:2222
- 75.99.168.46:61201
SHA256
- 01fafd51bb42f032b08b1c30130b963843fea0493500e871d6a6a87e555c7bac
- 0d3af630c03350935a902d0cce4dc64c5cfff8012b2ffc2f4ce5040fdec524ed
- 0d6c3de5aebbbe85939d7588150edf7b7bdc712fceb6a83d79e65b6f79bfc2ef
- 0e2b951ae07183c44416ff6fa8d7b8924348701efa75dd3cb14c708537471d27
- 130af6a91aa9ecbf70456a0bee87f947bf4ddc2d2775459e3feac563007e1aed
- 17205c43189c22dfcb278f5cc45c2562f622b0b6280dcd43cc1d3c274095eb90
- 1cad451cedeb9967c790c1671cd2e3482de87e3e802953f28e426642894ceb7b
- 1e7174f3d815c12562c5c1978af6abbf2d81df16a8724d2a1cf596065f3f15a2
- 2083e4c80ade0ac39365365d55b243dbac2a1b5c3a700aad383c110db073f2d9
- 22c1bac3755f1d3234b44b6db3864b30c34710f997db61ba46d134c6f7f4e1ff
- 2d906ed670b24ebc3f6c54e7be5a32096058388886737b1541d793ff5d134ccb
- 2e890fd02c3e0d85d69c698853494c1bab381c38d5272baa2a3c2bc0387684c1
- 308a54f1a0cc165036d78aa618d6d4d7409eee50f536b6882550e2a7f209667c
- 3fe73707c2042fefe56d0f277a3c91b5c943393cf42c2a4c683867d6866116fc
- 580ce8b7f5a373d5d7fbfbfef5204d18b8f9407b0c2cbf3bcae808f4d642076a
- 5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa
- 72a48f8592d89eb53a18821a54fd791298fcc0b3fc6bf9397fd71498527e7c0e
- 72fde47d3895b134784b19d664897b36ea6b9b8e19a602a0aaff5183c4ec7d24
- 7883f01096db9bcf090c2317749b6873036c27ba92451b212b8645770e1f0b8a
- 81a6c44682b981172cd85ee4a150ac49f838a65c3a0ed822cb07a1c19dab4af5
- 8882186bace198be59147bcabae6643d2a7a490ad08298a4428a8e64e24907ad
- 94428d7620fff816cb3f65595978c6abb812589861c38052d30fa3c566e32256
- 96339a7e87ffce6ced247feb9b4cb7c05b83ca315976a9522155bad726b8e5be
- ac49c114ef137cc198786ad8daefa9cfcc01f0c0a827b0e2b927a7edd0fca8b0
- ae7c868713e1d02b4db60128c651eb1e3f6a33c02544cc4cb57c3aa6c6581b6e
- c4683097a2615252eeddab06c54872efb14c2ee2da8997b1c73844e582081a79
- c7eb0facf612dbf76f5e3fe665fe0c4bfed48d94edc872952a065139720e3166
- c9df12fbfcae3ac0894c1234e376945bc8268acdc20de72c8dd16bf1fab6bb70
- df35b45ed34eaca32cda6089acbfe638d2d1a3593d74019b6717afed90dbd5f8
- ffa7f0e7a2bb0edf4b7785b99aa39c96d1fe891eb6f89a65d76a57ff04ef17ab