Black Basta è un nuovo ransomware rilevato per la prima volta a metà aprile 2022. Secondo i ricercatori Minerva, il ransomware "ha già causato danni sostanziali a oltre dieci organizzazioni". Due delle sue vittime recenti includono Deutsche Windtechnik e l'American Dental Association. Alcuni credono che il ransomware sia associato al Gruppo di criminalità informatica Conti.
Curriculum tecnico di Black Basta
La prima cosa da menzionare è che il ransomware dovrebbe essere eseguito con privilegi di amministratore, o sarà innocuo. Ciò richiede di non essere rilevato all'interno della rete di destinazione in modo da ottenere i privilegi di amministratore necessari. Un'altra opzione è utilizzare le credenziali di accesso rubate, spesso disponibile sui forum del dark web.
Il ransomware è anche in grado di acquisire persistenza rubando un nome di servizio esistente, quindi eliminare il servizio e creare un nuovo servizio con lo stesso nome rubato. Nel caso esaminato dai ricercatori, il servizio è stato soprannominato Fax. Prima di avviare il crittografia meccanismo, Black Basta controlla la configurazione di avvio del sistema utilizzando la chiamata API GetSystemMetrics, e poi aggiunge “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkFax” per consentire a un servizio FAX di essere eseguito in modalità provvisoria.
Una volta terminate tutte le configurazioni, riavvia il computer in modalità provvisoria con rete utilizzando un comando specifico (bcdedit /set rete di avvio sicuro).
“A causa della modifica della modalità di riavvio eseguita in precedenza dal ransomware, il PC si riavvierà in modalità provvisoria con il servizio 'Fax' in esecuzione. Questo servizio eseguirà quindi nuovamente il ransomware, ma questa volta ai fini della crittografia,Il resoconto di Minerva noto.
Black Basta enumera anche i volumi e rilascia un file readme.txt con "una richiesta di riscatto sorprendentemente breve contenente una minaccia alla pubblicazione di dati, Indirizzo del sito web TOR della banda, e un ID azienda." Questa nota viene scritta in ogni cartella come parte della procedura di crittografia. Per accelerare il processo di crittografia, viene eseguito in più thread contemporaneamente.
Una volta completata la crittografia, il ransomware è impostato per riavviare il computer in modalità normale. Sembra che ogni campione di Black Basta sia creato per un'azienda specifica, disse Minerva, perché un ID azienda è codificato nella richiesta di riscatto oltre a una chiave pubblica.