Black Basta es un nuevo ransomware detectado por primera vez a mediados de abril 2022. Según los investigadores de Minerva, el ransomware "ya ha causado daños sustanciales a más de diez organizaciones". Dos de sus víctimas recientes incluyen Deutsche Windtechnik y la Asociación Dental Estadounidense.. Algunos creen que el ransomware está asociado con el grupo de ciberdelincuencia conti.
Currículum técnico de Black Basta
Lo primero que hay que mencionar es que el ransomware debe ejecutarse con privilegios administrativos., o será inofensivo. Esto requiere permanecer sin ser detectado dentro de la red del objetivo para que se obtengan los privilegios de administrador necesarios.. Otra opción es usar credenciales de inicio de sesión robadas, a menudo disponible en foros de la web oscura.
El ransomware también es capaz de ganar persistencia al robar un nombre de servicio existente, luego eliminando el servicio y creando un nuevo servicio con el mismo nombre robado. En el caso que los investigadores examinaron, el servicio se denominó Fax. Antes de iniciar el cifrado mecanismo, Black Basta comprueba la configuración de arranque del sistema mediante la llamada a la API GetSystemMetrics, y luego agrega “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkFax” para permitir que un servicio de FAX se ejecute en modo seguro.
Una vez hechas todas las configuraciones, reinicia la computadora en modo seguro con conexión en red usando un comando específico (bcdedit /establecer red de inicio seguro).
“Debido al cambio de modo de reinicio realizado por el ransomware anteriormente, la PC se reiniciará en modo seguro con el servicio 'Fax' ejecutándose. Este servicio luego ejecutará el ransomware nuevamente, pero esta vez con el propósito de encriptar,Informe de Minerva célebre.
Black Basta también enumera los volúmenes y suelta un archivo readme.txt con "una nota de rescate sorprendentemente corta que contiene una amenaza de publicación de datos"., Dirección del sitio web TOR de la pandilla, y una identificación de la empresa.” Esta nota se escribe en cada carpeta como parte del procedimiento de encriptación. Para acelerar el proceso de encriptación, se ejecuta en varios hilos simultáneamente.
Una vez finalizada la encriptación, el ransomware está configurado para reiniciar la computadora en modo normal. Parece que cada muestra de Black Basta está creada para una empresa específica, Minerva dijo, porque una identificación de la empresa está codificada en la nota de rescate además de una clave pública.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: