Black Basta est un nouveau ransomware détecté pour la première fois à la mi-avril 2022. Selon les chercheurs de Minerva, le ransomware "a déjà causé des dommages importants à plus de dix organisations". Deux de ses victimes récentes incluent Deutsche Windtechnik et l'American Dental Association. Certains pensent que le rançongiciel est associé au Groupe de cybercriminalité Conti.
CV technique Black Basta
La toute première chose à mentionner est que le rançongiciel doit être exécuté avec des privilèges administratifs, ou ce sera inoffensif. Cela nécessite de rester non détecté au sein du réseau de la cible afin que les privilèges d'administrateur nécessaires soient obtenus. Une autre option consiste à utiliser des identifiants de connexion volés, souvent disponible sur les forums du dark web.
Le ransomware est également capable de gagner en persistance en volant un nom de service existant, puis en supprimant le service et en créant un nouveau service avec le même nom volé. Dans le cas où les chercheurs ont examiné, le service a été surnommé Fax. Avant de lancer la chiffrement mécanisme, Black Basta vérifie la configuration de démarrage du système en utilisant l'appel API GetSystemMetrics, puis ajoute "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkFax” pour permettre à un service FAX de fonctionner en mode sans échec.
Une fois toutes les configurations effectuées, il redémarre l'ordinateur en mode sans échec avec mise en réseau à l'aide d'une commande spécifique (bcdedit/set safeboot réseau).
"En raison du changement de mode de redémarrage effectué par le ransomware plus tôt, le PC redémarrera en mode sans échec avec le service 'Fax' en cours d'exécution. Ce service exécutera alors à nouveau le rançongiciel, mais cette fois à des fins de cryptage,” Le rapport de Minerva c'est noté.
Black Basta énumère également les volumes et dépose un fichier readme.txt avec "une note de rançon étonnamment courte contenant une menace de publication de données, Adresse du site TOR du gang, et un identifiant d'entreprise. Cette note est écrite dans chaque dossier dans le cadre de la procédure de chiffrement. Pour accélérer le processus de cryptage, il s'exécute dans plusieurs threads simultanément.
Une fois le cryptage finalisé, le ransomware est configuré pour redémarrer l'ordinateur en mode normal. Il semble que chaque échantillon de Black Basta soit créé pour une entreprise spécifique, Minerve a dit, car un identifiant d'entreprise est codé en dur dans la note de rançon en plus d'une clé publique.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: