Black Basta is een nieuwe ransomware die voor het eerst midden april werd gedetecteerd 2022. Volgens onderzoekers van Minerva, de ransomware "heeft al aanzienlijke schade aangericht aan meer dan tien organisaties." Twee van de recente slachtoffers zijn Deutsche Windtechnik en de American Dental Association. Sommigen geloven dat de ransomware wordt geassocieerd met de Conti cybercrime groep.
Technische CV Black Basta
Het allereerste om te vermelden is dat de ransomware moet worden uitgevoerd met beheerdersrechten, of het zal onschadelijk zijn. Dit vereist dat u onopgemerkt blijft binnen het netwerk van het doelwit, zodat de benodigde beheerdersrechten worden verkregen. Een andere optie is het gebruik van gestolen inloggegevens, vaak beschikbaar op darkwebforums.
De ransomware kan ook persistentie verkrijgen door een bestaande servicenaam te stelen, vervolgens de service verwijderen en een nieuwe service maken met dezelfde gestolen naam. In het geval dat de onderzoekers onderzochten, de dienst heette Fax. Voorafgaand aan het starten van de encryptie mechanisme, Black Basta controleert de systeemopstartconfiguratie met behulp van de GetSystemMetrics API-aanroep, en voegt er dan aan toe “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkFax” om een FAX-service in de veilige modus te laten werken.
Zodra alle configuraties zijn voltooid, het herstart de computer in de veilige modus met netwerkmogelijkheden met behulp van een specifieke opdracht (bcdedit /set safeboot-netwerk).
"Vanwege de wijziging van de herstartmodus die eerder door de ransomware is uitgevoerd, de pc zal opnieuw opstarten in de veilige modus terwijl de 'Fax'-service actief is. Deze service zal de ransomware dan opnieuw uitvoeren, maar deze keer voor het doel van encryptie,Verslag van Minerva bekend.
Black Basta somt ook volumes op en dropt een readme.txt-bestand met "een verrassend korte losgeldbrief met een bedreiging voor het publiceren van gegevens, TOR website adres van de bende, en een bedrijfs-ID.” Deze notitie wordt naar elke map geschreven als onderdeel van de versleutelingsprocedure. Om het coderingsproces te versnellen, het draait in meerdere threads tegelijk.
Zodra de codering is voltooid, de ransomware is ingesteld om de computer opnieuw op te starten in de normale modus. Het lijkt erop dat elk exemplaar van Black Basta is gemaakt voor een specifiek bedrijf, Minerva zei, omdat een bedrijfs-ID naast een openbare sleutel hard gecodeerd is in de losgeldbrief.