Black Basta ist eine neue Ransomware, die erstmals Mitte April entdeckt wurde 2022. Laut Minerva-Forschern, die Ransomware „hat bereits über zehn Organisationen erheblichen Schaden zugefügt“. Zwei der jüngsten Opfer sind die Deutsche Windtechnik und die American Dental Association. Einige glauben, dass die Ransomware mit dem verbunden ist Conti-Cybercrime-Gruppe.
Technischer Lebenslauf von Black Basta
Als allererstes ist zu erwähnen, dass die Ransomware mit Administratorrechten ausgeführt werden sollte, oder es wird harmlos sein. Dies erfordert, im Netzwerk des Ziels unentdeckt zu bleiben, damit die erforderlichen Administratorrechte erlangt werden. Eine weitere Möglichkeit ist die Verwendung gestohlener Anmeldedaten, oft in Dark-Web-Foren verfügbar.
Die Ransomware ist auch in der Lage, Persistenz zu erlangen, indem sie einen bestehenden Dienstnamen stiehlt, Löschen Sie dann den Dienst und erstellen Sie einen neuen Dienst mit demselben gestohlenen Namen. In dem Fall untersuchten die Forscher, der Dienst hieß Fax. Vor der Einleitung der Verschlüsselung Mechanismus, Black Basta überprüft die Systemstartkonfiguration mithilfe des GetSystemMetrics-API-Aufrufs, und fügt dann hinzu „HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkFax“, damit ein FAX-Dienst im abgesicherten Modus ausgeführt werden kann.
Sobald alle Konfigurationen abgeschlossen sind, Es startet den Computer im abgesicherten Modus mit Netzwerk mithilfe eines bestimmten Befehls neu (bcdedit /set safeboot network).
„Aufgrund der zuvor von der Ransomware durchgeführten Änderung des Neustartmodus, Der PC wird im abgesicherten Modus neu gestartet, wobei der Dienst „Fax“ ausgeführt wird. Dieser Dienst führt die Ransomware dann erneut aus, aber diesmal zum Zwecke der Verschlüsselung,” Minervas Bericht bekannt.
Black Basta zählt auch Bände auf und legt eine readme.txt-Datei mit „einer überraschend kurzen Lösegeldforderung ab, die eine Bedrohung durch die Veröffentlichung von Daten enthält, TOR-Website-Adresse der Bande, und eine Firmen-ID.“ Dieser Vermerk wird im Rahmen des Verschlüsselungsverfahrens in jeden Ordner geschrieben. Um den Verschlüsselungsprozess zu beschleunigen, es läuft in mehreren Threads gleichzeitig.
Sobald die Verschlüsselung abgeschlossen ist, Die Ransomware ist so eingestellt, dass der Computer im normalen Modus neu gestartet wird. Es scheint, dass jede Probe von Black Basta für ein bestimmtes Unternehmen erstellt wurde, sagte Minerva, weil in der Lösegeldforderung neben einem öffentlichen Schlüssel auch eine Firmen-ID fest einprogrammiert ist.