Black Basta

BlackBasta Ransomware

SafeMode Ransomware

BlackBasta Doxware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ChaCha20 + RSA-4096 (для шифрования ключа), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Black Basta. На обнаруженном файле было написано: ADA1.exe. Самоназвание группы вымогателей: Black Basta group. Группа BBG угрожает опубликовать украденные данные, если жертвы отказывается платить или медлит с оплатой. 
---
Обнаружения:
DrWeb -> Trojan.DelShadows.20
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> Win32/Filecoder.OKW
Kaspersky -> HEUR:Trojan.Win32.DelShad.gen
Malwarebytes -> Malware.AI.3879235874
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Lmay
TrendMicro -> TROJ_GEN.R002H09DP22
---

© Генеалогия: Conti ⇒ Black Basta

Знак "⇒" в генеалогии означает переход на другую разработку (другую программу, другой язык программирования, ребрендинг и прочее изменение). 

Сайт "ID Ransomware" идентифицирует это как Black Basta. 

Информация для идентификации

Активность этого крипто-вымогателя началась в первой половине апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первый известный случай Black Basta Ransomware произошел в Германии. Всего за пару недель было взломано 12 компаний. 

К зашифрованным файлам добавляется расширение: .basta

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:

Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

You can contact us and decrypt one file for free on this TOR site

(you should download and install TOR browser first https://torproject.org)

hxxxs://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion/

Your company id for log in: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Перевод записки на русский язык:

Ваши данные украдены и зашифрованы

Данные будут опубликованы на TOR сайте, если вы не заплатите выкуп

Вы можете написать нам и расшифровать один файл бесплатно на TOR сайте

(сначала нужно скачать и установить TOR браузер https://torproject.org)

hxxxs://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion/

ID вашей компании для входа: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Другим информатором является изображение (файл dlaksjdoiwq.jpg), заменяющее обои Рабочего стола. См. ниже. в разделе "Технические детали". 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, поддельного  установщика Adobe Flash Player, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует Gh0st RAT для проникновения. 
➤ UAC не обходит, требуется разрешение на запуск от имени администратора, иначе шифрование файлов не произойдет. После полученного разрешения захватывается одна из системных служб Windows, например, Fax, и используется для запуска исполняемого файла шифровальщика-вымогателя. 

➤ Заменяет обои Рабочего стола на свое изображение с текстом, что сеть зашифрована и нужно прочитать файл readme.txt. Затем перезагружает компьютер, используя функцию Shutdown с атрибутами (shutdown -r -f -t 0). 

После перезагрузки компьютера, система загружается в безопасном режиме (Safe Mode) с поддержкой сети, в котором захваченная шифровальщиком служба Windows начнет автоматически шифровать файлы. 

Для шифрования файлов используется алгоритм ChaCha20. Затем ключ шифрования ChaCha20 шифруется открытым ключом RSA-4096, включенным в исполняемый файл. 

Зашифрованные файлы получают специальный значок. Среди файлов есть два одинаковых файла readme.txt (одно и тоже название, один и тот же текст). 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, загружает ПК в безопасном режиме с помощью команд:

C:\Windows\SysNative\vssadmin.exe delete shadows /all /quiet
C:\Windows\SysNative\bcdedit.exe /deletevalue safeboot

C:\Windows\SysNative\bcdedit /set safeboot network

➤ Изменяет внешний вид зашифрованных файлов с помощью собственного ico-файла. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;

dlaksjdoiwq.jpg - название файла изображения, заменяющего обои Рабочего стола; 
ADA1.exe, vsdebugconsole.exe - названия вредоносного файла;  

fkdjsadasd.ico - файл, используемый для иконок зашифрованных файлов. 

Файл ADA1.exe был использован вымогателями во время атаки на The American Dental Association (сокращенно ADA). Видимо в других атаках вредоносный файл может иметь другое название. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Windows\TEMP\dlaksjdoiwq.jpg

C:\Windows\TEMP\fkdjsadasd.ico

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-2277218442-1199762539-2004043321-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\AppData\\Local\\Temp\\dlaksjdoiwq.jpg"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta\DefaultIcon

@="C:\\Windows\\TEMP\\fkdjsadasd.ico"

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxxs://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB 

MD5: 3f400f30415941348af21d515a2fc6a3

SHA-1: bd0bf9c987288ca434221d7d81c54a47e913600a

SHA-256: 5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa

Vhash: 055056655d15556148z76hz23z2fz

Imphash: ede5e0724f09124ab3994aacb2b361db

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 31 мая 2022: 

Сообщение >> 

Записка: readme.txt

Результаты анализа: VT + IA

Обнаружения: 

ESET-NOD32 -> Win32/Filecoder.BlackBasta.B

Microsoft -> Ransom:Win32/Basta.D!ldr

TrendMicro -> Ransom.Win32.BASTACRYPT.SMYACEDT

Обновление информации от 9 августа 2022:

Сообщение >>

Вариант от 7 февраля 2023 или раньше: 

Сообщение на форуме >>

Подтверждение в статье PCrisk >>

Расширение: .<random>

Записка: instructions_read_me.txt

Tor-URL: hxxxs://bastad5huzwkepdixedg2gekg7jk22ato24zyllp6lnjx7wdtyctgvyd.onion/

Результаты анализа: VT

Обнаружения: 

DrWeb -> Trojan.Encoder.35576

BitDefender -> Generic.Ransom.Basta.A.88A395AA

ESET-NOD32 -> Win32/Filecoder.BlackBasta.B

Rising -> Ransom.BlackBasta!1.E2C3 (CLASSIC)

TrendMicro -> Ransom.Win32.BLACKBASTA.THDBGBB

Ноябрь 2023:

Страсти по Black Basta не утихают. 

Статья на BC >>

=== 2024 ===

Вариант от 24 февраля 2024:

Файл: decryptor.exe

Результаты анализа: VT

Обнаружения: 

DrWeb -> Trojan.Encoder.38922

ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackBasta.F

Microsoft -> Ransom:Win64/Basta.SAB!MTB

Symantec -> Ransom.Basta

TrendMicro -> PUA.Win32.BlackBasta.A.decryptor

Вариант от 12 марта 2024:

Файл: SPORTSSOUTHBIZ.exe

Результаты анализа: VT

Обнаружения: 

DrWeb -> Trojan.Encoder.38377

ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackBasta.F

Kaspersky -> HEUR:Trojan-Ransom.Win32.BlackBasta.gen

Malwarebytes -> Generic.Malware.AI.DDS

Microsoft -> Ransom:Win32/Basta.PB!MTB

TrendMicro -> Ransom.Win32.BLACKBASTA.SMYACKUT

Вариант от 15 марта 2024: 

Записка: instructions_read_me.txt

Файл: sample.exe

Результаты анализа: VT + TG

Обнаружения: 

DrWeb -> Trojan.Encoder.38377

ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackBasta.F

Kaspersky -> HEUR:Trojan-Ransom.Win32.BlackBasta.gen

Malwarebytes -> Generic.Malware.AI.DDS

Microsoft -> Ransom:Win32/Basta.PB!MTB

Symantec -> Ransom.Basta

TrendMicro -> Ransom.Win32.BLACKBASTA.SMYACKUT

Июнь 2024:

Microsoft продолжает штамповать уязвимости, которыми пользуются хакеры-вымогатели, связанные с группой Black Basta. Статья об очередном факте использования уязвимостей в системах Microsoft. Ссылка >>

Октябрь 2024: 

В октябре члены группировки Black Basta изменили свою тактику, теперь они  выдают себя за ИТ-поддержку Microsoft Teams и взламывают сети. Учетные записи создаются под именами клиентов Entra ID, которые называются так, чтобы выглядеть как служба поддержки, например:

securityadminhelper.onmicrosoft.com

supportserviceadmin.onmicrosoft.com

и др. 

Исследователи утверждают, что внешние пользователи Microsoft Teams находятся в России, а данные о часовом поясе обычно соответствуют Москве. Их цель в том, чтобы снова обманом заставить жертву установить AnyDesk или запустить Quick Assist, чтобы злоумышленники могли получить удаленный доступ к ее устройствам. 

После подключения злоумышленники устанавливают вредоносные программы под названием AntispamAccount.exe, AntispamUpdate.exe и AntispamConnectUS.exe.

Статья об этом на сайте BC >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage + Message
 Write-up, Topic of Support
 Added later: Write-up by BleepingComputer 

 Thanks: 
 0x01r3ddw4rf, PCrisk
 Andrew Ivanov (article author)
 MalwareHunterTeam, LawrenceAbrams, Vitali Kremez 
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.