Black Bastaは、4月中旬に最初に検出された新しいランサムウェアです。 2022. ミネルバの研究者によると, ランサムウェアは「すでに10を超える組織に大きな被害をもたらしています」。最近の犠牲者の2人には、DeutscheWindtechnikとAmericanDentalAssociationが含まれます。. ランサムウェアは コンティサイバー犯罪グループ.
ブラックバスタテクニカルレジュメ
最初に言及することは、ランサムウェアは管理者権限で実行されるべきであるということです, またはそれは無害になります. これには、必要な管理者権限を取得するために、ターゲットのネットワーク内で検出されないままにする必要があります. 別のオプションは、盗まれたログイン資格情報を使用することです, ダークウェブフォーラムでよく利用可能.
ランサムウェアは、既存のサービス名を盗むことで永続性を獲得することもできます, 次に、サービスを削除し、同じ盗まれた名前で新しいサービスを作成します. 研究者が調べた場合, サービスはFaxと呼ばれていました. 開始する前に 暗号化 機構, Black Bastaは、GetSystemMetricsAPI呼び出しを使用してシステムブート構成をチェックします, そして、「HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SafeBoot Network Fax」を使用して、FAXサービスをセーフモードで実行できるようにします.
すべての構成が完了したら, 特定のコマンドを使用して、ネットワークを使用してセーフモードでコンピュータを再起動します (bcdedit / set safeboot network).
「以前にランサムウェアによって実行された再起動モードの変更のため, PCは、「Fax」サービスが実行されているセーフモードで再起動します. その後、このサービスはランサムウェアを再度実行します, 今回は暗号化を目的としています,」ミネルバの報告 了解しました.
Black Bastaはまた、ボリュームを列挙し、readme.txtファイルに「データ公開の脅威を含む驚くほど短い身代金メモ」をドロップします。, ギャングのTORウェブサイトアドレス, と会社ID。」このメモは、暗号化手順の一部としてすべてのフォルダに書き込まれます. 暗号化プロセスを高速化するには, 複数のスレッドで同時に実行されます.
暗号化が完了したら, ランサムウェアは、通常モードでコンピューターを再起動するように設定されています. ブラックバスタの各サンプルは特定の会社のために作成されているようです, ミネルバは言った, 公開鍵に加えて会社IDが身代金メモにハードコードされているため.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: