Black Basta é um novo ransomware detectado pela primeira vez em meados de abril 2022. Segundo pesquisadores do Minerva, o ransomware “já causou danos substanciais a mais de dez organizações”. Duas de suas vítimas recentes incluem a Deutsche Windtechnik e a American Dental Association. Alguns acreditam que o ransomware está associado ao Grupo de crimes cibernéticos Conti.
Currículo Técnico Basta Preta
A primeira coisa a mencionar é que o ransomware deve ser executado com privilégios administrativos, ou será inofensivo. Isso requer permanecer indetectável na rede do alvo para que os privilégios de administrador necessários sejam obtidos. Outra opção é usar credenciais de login roubadas, frequentemente disponível em fóruns da dark web.
O ransomware também é capaz de ganhar persistência roubando um nome de serviço existente, em seguida, excluindo o serviço e criando um novo serviço com o mesmo nome roubado. No caso em que os pesquisadores examinaram, o serviço foi apelidado de Fax. Antes de iniciar o criptografia mecanismo, Black Basta verifica a configuração de inicialização do sistema usando a chamada da API GetSystemMetrics, e depois acrescenta “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkFax” para permitir que um serviço de FAX seja executado em modo de segurança.
Uma vez que todas as configurações são feitas, ele reinicia o computador no modo de segurança com rede usando um comando específico (bcdedit /set rede safeboot).
“Devido à alteração do modo de reinicialização realizada pelo ransomware anteriormente, o PC irá reiniciar em modo de segurança com o serviço 'Fax' em execução. Este serviço executará o ransomware novamente, mas desta vez para fins de criptografia,” Relatório de Minerva notado.
Black Basta também enumera volumes e descarta um arquivo readme.txt com “uma nota de resgate surpreendentemente curta contendo uma ameaça de publicação de dados, Endereço do site TOR da gangue, e um ID da empresa.” Esta nota é gravada em todas as pastas como parte do procedimento de criptografia. Para acelerar o processo de criptografia, ele é executado em vários threads simultaneamente.
Uma vez que a criptografia é finalizada, o ransomware está configurado para reiniciar o computador no modo normal. Parece que cada amostra de Black Basta é criada para uma empresa específica, Minerva disse, porque um ID da empresa é codificado na nota de resgate, além de uma chave pública.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: