Black Basta интегрирует инструмент обхода защиты прямо в вредоносный код

Традиционно атаки с использованием BYOVD подразумевают развертывание на целевой системе отдельного подписанного, но уязвимого драйвера до запуска вымогателя. Этот драйвер, работающий на уровне ядра, позволяет злоумышленникам повышать привилегии и принудительно завершать процессы, связанные с системами безопасности. В текущем случае Black Basta использовал уязвимый драйвер NSecKrnl от NsecSoft, который был напрямую "упакован" вместе с вредоносным кодом. Драйвер имеет известную критическую уязвимость CVE-2025-68947, позволяющую локальному аутентифицированному злоумышленнику завершать системные процессы.

В рамках атаки вредоносный модуль создавал службу NSecKrnl и использовал драйвер для принудительного завершения широкого спектра процессов, связанных с продуктами безопасности. Среди целевых процессов были компоненты Sophos, Symantec, Microsoft Defender, CrowdStrike Falcon, ESET, Avast и других вендоров. После отключения защиты вымогатель приступал к шифрованию файлов, добавляя к ним расширение ".locked".

Подобная интеграция не является абсолютно новой, но она необычна для современных операторов вымогателей. Ранее подобный метод наблюдался в атаках Ryuk в 2020 году и малоизвестного вымогателя Obscura в 2025. Однако для Black Basta, одного из самых активных семейств последних лет, это первый подобный случай. Группа, отслеживаемая специалистами Symantec и Carbon Black под кодовым названием Cardinal, после утечки внутренних чат-логов в феврале 2025 года значительно снизила активность. Новая кампания может указывать на возвращение группы к операциям и потенциальную "мейнстримизацию" данной тактики.

Анализ кампании выявил и другие интересные детали. За несколько недель до развертывания вымогателя в сети жертвы был обнаружен подозрительный загрузчик, использующий технику side-loading. Это может свидетельствовать о длительном периоде пребывания злоумышленников в системе. Кроме того, на следующий день после атаки на некоторых машинах был обнаружен инструмент удаленного доступа GotoHTTP. Подобная активность после шифрования данных встречается относительно редко и может указывать на попытку сохранить устойчивый доступ к сети даже после выполнения основной задачи.

Нарушение работы защитных систем, будь то отключение антивируса или EDR-решений, стало ключевым этапом в цепочке атак вымогателей в 2026 году. Популярность BYOVD объясняется высокой эффективностью и использованием легитимных подписанных файлов, которые реже вызывают подозрения. Среди часто используемых инструментов - TrueSightKiller, Gmer, Warp AVKiller, GhostDriver, Poortry (BurntCigar) и AuKill. Хотя злоумышленники также применяют "живущие off-the-land" техники с использованием стандартных утилит Windows, BYOVD остается их основным методом.

Группа Cardinal, стоящая за Black Basta, известна с апреля 2022 года. Ее участники, как предполагается, связаны с операциями прекративших существование вымогателей Ryuk и Conti, а также банковским трояном Trickbot. После ликвидации ботнета Qakbot в августе 2023 года группа нашла новые векторы заражения и продолжила активность, есть свидетельства использования ей уязвимостей нулевого дня. Утечка чат-логов в 2025 году нанесла серьезный удар по операциям группы, предоставив исследователям беспрецедентную информацию о ее внутренней структуре. В последние недели правоохранительные органы провели обыски у двух предполагаемых участников группы на Украине, а ее предполагаемый лидер, 35-летний россиянин Олег Евгеньевич Нефедов, был объявлен в международный розыск.

Вопрос, который ставит новая кампания, заключается в том, станет ли эта тактика популярной среди других операторов. Интеграция возможностей обхода защиты в основной модуль может давать преимущества. Такой подход "тише", поскольку не требует сброса отдельного файла на диск жертвы. Кроме того, он ускоряет атаку, не оставляя защитникам временного окна между развертыванием инструмента обхода и запуском шифровальщика. Для разработчиков вымогателей, работающих по партнерской модели, встроенные дополнительные возможности могут стать уникальным преимуществом, привлекательным для аффилиатов, так как упрощают проведение атаки.

Будущее покажет, последуют ли другие семейства вымогателей этой тенденции и начнут ли встраивать дополнительные функции, такие как обход защиты, непосредственно в свои вредоносные модули. Несмотря на недавние успехи правоохранительных органов, эволюция тактик угрожающих акторов продолжается, требуя от специалистов по безопасности постоянной бдительности и адаптации защитных мер.

SHA256

• 206f27ae820783b7755bca89f83a0fe096dbb510018dd65b63fc80bd20c03261
• 230b84398e873938bbcc7e4a1a358bde4345385d58eb45c1726cee22028026e9
• 5213706ae67a7bf9fa2c0ea5800a4c358b0eaf3fe8481be13422d57a0f192379
• 6bd8a0291b268d32422139387864f15924e1db05dbef8cc75a6677f8263fa11d
• bf6686858109d695ccdabce78c873d07fa740f025c45241b0122cecbdd76b54e
• e09686fde44ae5a804d9546105ebf5d2832917df25d6888aefa36a1769fe4eb4