Casa > Cyber ​​Notizie > Nero Basta: Nuovo ransomware in aumento
CYBER NEWS

Nero Basta: Nuovo ransomware in aumento

Black Basta è un nuovo ransomware rilevato per la prima volta a metà aprile 2022. Secondo i ricercatori Minerva, il ransomware "ha già causato danni sostanziali a oltre dieci organizzazioni". Due delle sue vittime recenti includono Deutsche Windtechnik e l'American Dental Association. Alcuni credono che il ransomware sia associato al Gruppo di criminalità informatica Conti.

Nero Basta: Nuovo ransomware in aumento

Curriculum tecnico di Black Basta

La prima cosa da menzionare è che il ransomware dovrebbe essere eseguito con privilegi di amministratore, o sarà innocuo. Ciò richiede di non essere rilevato all'interno della rete di destinazione in modo da ottenere i privilegi di amministratore necessari. Un'altra opzione è utilizzare le credenziali di accesso rubate, spesso disponibile sui forum del dark web.

Il ransomware è anche in grado di acquisire persistenza rubando un nome di servizio esistente, quindi eliminare il servizio e creare un nuovo servizio con lo stesso nome rubato. Nel caso esaminato dai ricercatori, il servizio è stato soprannominato Fax. Prima di avviare il crittografia meccanismo, Black Basta controlla la configurazione di avvio del sistema utilizzando la chiamata API GetSystemMetrics, e poi aggiunge “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkFax” per consentire a un servizio FAX di essere eseguito in modalità provvisoria.




Una volta terminate tutte le configurazioni, riavvia il computer in modalità provvisoria con rete utilizzando un comando specifico (bcdedit /set rete di avvio sicuro).

“A causa della modifica della modalità di riavvio eseguita in precedenza dal ransomware, il PC si riavvierà in modalità provvisoria con il servizio 'Fax' in esecuzione. Questo servizio eseguirà quindi nuovamente il ransomware, ma questa volta ai fini della crittografia,Il resoconto di Minerva noto.

Black Basta enumera anche i volumi e rilascia un file readme.txt con "una richiesta di riscatto sorprendentemente breve contenente una minaccia alla pubblicazione di dati, Indirizzo del sito web TOR della banda, e un ID azienda." Questa nota viene scritta in ogni cartella come parte della procedura di crittografia. Per accelerare il processo di crittografia, viene eseguito in più thread contemporaneamente.

Una volta completata la crittografia, il ransomware è impostato per riavviare il computer in modalità normale. Sembra che ogni campione di Black Basta sia creato per un'azienda specifica, disse Minerva, perché un ID azienda è codificato nella richiesta di riscatto oltre a una chiave pubblica.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo