Black Basta er en ny ransomware, der først blev opdaget i midten af april 2022. Ifølge Minerva-forskere, ransomwaren "har allerede forårsaget væsentlig skade på over ti organisationer." To af dets seneste ofre omfatter Deutsche Windtechnik og American Dental Association. Nogle mener, at ransomware er forbundet med Konti cyberkriminalitet gruppe.
Sort Basta teknisk CV
Den allerførste ting at nævne er, at ransomwaren skal udføres med administrative rettigheder, eller det vil være ufarligt. Dette kræver, at du forbliver uopdaget inden for målets netværk, så de nødvendige administratorrettigheder opnås. En anden mulighed er at bruge stjålne loginoplysninger, ofte tilgængelig på mørke web-fora.
Ransomwaren er også i stand til at opnå persistens ved at stjæle et eksisterende servicenavn, derefter slette tjenesten og oprette en ny tjeneste med det samme stjålne navn. I det tilfælde, forskerne undersøgte, tjenesten blev døbt Fax. Inden påbegyndelse af kryptering mekanisme, Black Basta kontrollerer systemstartkonfigurationen ved at bruge GetSystemMetrics API-kaldet, og tilføjer derefter "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetværkFax” for at aktivere en faxtjeneste til at køre i sikker tilstand.
Når alle konfigurationer er udført, den genstarter computeren i fejlsikret tilstand med netværk ved at bruge en bestemt kommando (bcdedit /set safeboot-netværk).
"På grund af genstartstilstandsændringen udført af ransomware tidligere, PC'en genstarter i sikker tilstand med 'Fax'-tjenesten kørende. Denne tjeneste vil derefter udføre ransomwaren igen, men denne gang med henblik på kryptering,” Minervas rapport bemærkes.
Black Basta opregner også mængder og dropper en readme.txt-fil med "en overraskende kort løsesumseddel indeholdende en trussel om dataudgivelse, TOR-webstedsadresse for banden, og et firma-id." Denne note skrives til hver mappe som en del af krypteringsproceduren. For at fremskynde krypteringsprocessen, den kører i flere tråde samtidigt.
Når krypteringen er afsluttet, ransomware er indstillet til at genstarte computeren i normal tilstand. Det ser ud til, at hver prøve af Black Basta er skabt til en bestemt virksomhed, sagde Minerva, fordi et firma-id er hårdkodet i løsesumsedlen ud over en offentlig nøgle.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: