[ad_1]
Uma nova gangue de ransomware conhecida como Black Basta rapidamente entrou em operação este mês, invadindo pelo menos doze empresas em apenas algumas semanas.
Os primeiros ataques conhecidos do Black Basta ocorreram na segunda semana de abril, quando a operação começou a atacar rapidamente empresas em todo o mundo.
Embora as demandas de resgate provavelmente variem entre as vítimas, a BleepingComputer está ciente de uma vítima que foi processada por mais de US $ 2 milhões pela gangue Black Basta para descriptografar arquivos e não vazar dados.
Não se sabe muito mais sobre a nova gangue de ransomware, pois eles não começaram a comercializar sua operação ou a recrutar afiliados em fóruns de hackers.
No entanto, devido à sua capacidade de rapidamente acumular novas vítimas e ao estilo de suas negociações, essa provavelmente não é uma nova operação, mas sim uma mudança de marca de uma gangue de ransomware de primeira linha anterior que trouxe suas afiliadas.
Roubar dados antes de criptografá-los
Como outras operações de ransomware direcionadas às empresas, o Black Basta rouba dados e documentos corporativos antes de criptografar os dispositivos de uma empresa.
Esses dados roubados são usados em ataques de dupla extorsão, em que os agentes de ameaças exigem um resgate para receber um decodificador e impedir a publicação dos dados roubados da vítima.
A parte de extorsão de dados desses ataques é realizada no site Tor ‘Black Basta Blog’ ou ‘Basta News’, que contém uma lista de todas as vítimas que não pagaram resgate. O Black Basta vazará lentamente os dados de cada vítima para tentar pressioná-los a pagar um resgate.
Fonte: BleepingComputer
O site de vazamento de dados da Black Basta atualmente contém páginas de vazamentos de dados de dez empresas que violaram. No entanto, o BleepingComputer conhece outras vítimas que não estão listadas no site de vazamento de dados.
Sua vítima mais recente na lista é a Deutsche Windtechnik, que sofreu um ataque cibernético em 11 de abril, mas não divulgou que se tratava de um ataque de ransomware.
Ontem, o site de vazamento de dados também começou a vazar dados da American Dental Association, que sofreu um ataque em 22 de abril, mas essa página foi removida. A remoção de sua página indica que a empresa está negociando com os agentes de ameaças.
Um mergulho mais profundo em Black Basta
O BleepingComputer realizou uma breve análise do ransomware Black Basta a partir de amostras online.
Quando executado, o Black Basta Encryptor deve ser executado com privilégios administrativos ou não criptografará os arquivos. Uma vez iniciado, o criptografador excluirá as cópias de volume de sombra com o seguinte comando:
C:Windowssystem32cmd.exe /c C:WindowsSysNativevssadmin.exe delete shadows /all /quietEm seguida, ele sequestrará um serviço Windows existente e o usará para iniciar o executável do criptografador de ransomware. Em nossos testes, o serviço do Windows que foi sequestrado foi o serviço ‘Fax’, conforme mostrado abaixo.
Fonte: BleepingComputer
O ransomware também mudará o papel de parede para exibir uma mensagem que diz: “Sua rede está criptografada pelo grupo Black Basta. Instruções no arquivo readme.txt”.
Fonte: BleepingComputer
O ransomware agora reiniciará o computador no modo de segurança com rede, onde o serviço Windows sequestrado será iniciado e começará automaticamente a criptografar os arquivos no dispositivo.
especialista em ransomware Michael Gillespie, que analisou o processo de criptografia do Black Basta, disse ao BleepingComputer que ele usa o algoritmo ChaCha20 para criptografar arquivos. A chave de criptografia ChaCha20 é então criptografada com uma chave pública RSA-4096 incluída no executável.
Ao criptografar seus arquivos, o ransomware adicionará o .suficiente extensão para o nome do arquivo criptografado. Assim, por exemplo, test.jpg seria criptografado e renomeado para test.jpg.
Fonte: BleepingComputer
Para exibir o ícone personalizado associado à extensão .basta, o ransomware criará uma extensão personalizada no Registro do Windows e associará o ícone a um arquivo ICO nomeado aleatoriamente na pasta %Temp%. Este ícone personalizado é muito semelhante ao usado pelo aplicativo icy.tools.
Editor de registro do Windows versão 5.00
[HKEY_LOCAL_MACHINESOFTWAREClasses.basta]
[HKEY_LOCAL_MACHINESOFTWAREClasses.bastaDefaultIcon]
@=”C:\Windows\TEMP\fkdjsadasd.ico”
Em cada pasta do dispositivo criptografado, o ransomware criará um leiame.txt arquivo contendo informações sobre o ataque e um link e um ID exclusivo necessário para fazer login em sua sessão de bate-papo de negociação.
Fonte: BleepingComputer
O site de negociação Tor é intitulado ‘Chat Black Basta’ e inclui apenas uma tela de login e bate-papo na web que podem ser usados para negociar com agentes de ameaças.
Os agentes de ameaças usam essa tela para emitir uma mensagem de boas-vindas contendo um pedido de resgate, uma ameaça de vazamento de dados se o pagamento não for feito em sete dias e a promessa de um relatório de segurança após o pagamento.
Fonte: BleepingComputer
Infelizmente, Gillespie diz que o algoritmo de criptografia é seguro e não há como recuperar arquivos gratuitamente.
Uma provável mudança de marca
Com base na rapidez com que o Black Basta acumulou vítimas e no estilo de suas negociações, isso é provavelmente um rebranding de uma operação experiente.
Uma teoria discutida entre o pesquisador de segurança MalwareHunterTeam e este autor é que Black Basta é possivelmente uma nova marca da operação de ransomware Conti.
A Conti está sob intenso escrutínio nos últimos dois meses depois que um pesquisador ucraniano vazou várias conversas privadas e o código-fonte do ransomware.
Por causa disso, houve especulações de que Conti mudaria o nome de sua operação para fugir da aplicação da lei e começar de novo com um nome diferente.
Enquanto a cifra Black Basta é muito diferente da de Conti, MalwareHunterTeam acredita que existem inúmeras semelhanças em seu estilo de negociação e design do site.
Além disso, Black Basta publicou os detalhes de uma nova vítima depois que uma captura de tela do comércio vazou.
Essa “punição” é a mesma introduzida por Conti para conter a onda de negociações que se infiltra no Twitter.
Embora essas conexões sejam tênues, a gangue Black Basta deve ser monitorada de perto, pois eles apenas começaram sua operação.
[ad_2]
