BlackBasta Ransomware
SafeMode Ransomware
BlackBasta Doxware
(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.DelShadows.20
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> Win32/Filecoder.OKW
Kaspersky -> HEUR:Trojan.Win32.DelShad.gen
Malwarebytes -> Malware.AI.3879235874
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Lmay
TrendMicro -> TROJ_GEN.R002H09DP22
---
© Генеалогия: Conti ⇒ Black Basta
Знак "⇒" в генеалогии означает переход на другую разработку (другую программу, другой язык программирования, ребрендинг и прочее изменение).
Сайт "ID Ransomware" идентифицирует это как Black Basta.
Информация для идентификации
Активность этого крипто-вымогателя началась в первой половине апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первый известный случай Black Basta Ransomware произошел в Германии. Всего за пару недель было взломано 12 компаний.
К зашифрованным файлам добавляется расширение: .basta
Записка с требованием выкупа называется: readme.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Другим информатором является изображение (файл dlaksjdoiwq.jpg), заменяющее обои Рабочего стола. См. ниже. в разделе "Технические детали".
Записка с требованием выкупа называется: readme.txt
Содержание записки о выкупе:
Your data are stolen and encrypted
The data will be published on TOR website if you do not pay the ransom
You can contact us and decrypt one file for free on this TOR site
(you should download and install TOR browser first https://torproject.org)
hxxxs://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion/
Your company id for log in: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Перевод записки на русский язык:
Ваши данные украдены и зашифрованы
Данные будут опубликованы на TOR сайте, если вы не заплатите выкуп
Вы можете написать нам и расшифровать один файл бесплатно на TOR сайте
(сначала нужно скачать и установить TOR браузер https://torproject.org)
hxxxs://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion/
ID вашей компании для входа: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Другим информатором является изображение (файл dlaksjdoiwq.jpg), заменяющее обои Рабочего стола. См. ниже. в разделе "Технические детали".
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, поддельного установщика Adobe Flash Player, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует Gh0st RAT для проникновения.
➤ UAC не обходит, требуется разрешение на запуск от имени администратора, иначе шифрование файлов не произойдет. После полученного разрешения захватывается одна из системных служб Windows, например, Fax, и используется для запуска исполняемого файла шифровальщика-вымогателя.
➤ Заменяет обои Рабочего стола на свое изображение с текстом, что сеть зашифрована и нужно прочитать файл readme.txt. Затем перезагружает компьютер, используя функцию Shutdown с атрибутами (shutdown -r -f -t 0).
После перезагрузки компьютера, система загружается в безопасном режиме (Safe Mode) с поддержкой сети, в котором захваченная шифровальщиком служба Windows начнет автоматически шифровать файлы.
Для шифрования файлов используется алгоритм ChaCha20. Затем ключ шифрования ChaCha20 шифруется открытым ключом RSA-4096, включенным в исполняемый файл.
Зашифрованные файлы получают специальный значок. Среди файлов есть два одинаковых файла readme.txt (одно и тоже название, один и тот же текст).
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, загружает ПК в безопасном режиме с помощью команд:
C:\Windows\SysNative\vssadmin.exe delete shadows /all /quiet
C:\Windows\SysNative\bcdedit.exe /deletevalue safeboot
C:\Windows\SysNative\bcdedit.exe /deletevalue safeboot
C:\Windows\SysNative\bcdedit /set safeboot network
➤ Изменяет внешний вид зашифрованных файлов с помощью собственного ico-файла.
➤ Изменяет внешний вид зашифрованных файлов с помощью собственного ico-файла.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
dlaksjdoiwq.jpg - название файла изображения, заменяющего обои Рабочего стола;
ADA1.exe, vsdebugconsole.exe - названия вредоносного файла;
ADA1.exe, vsdebugconsole.exe - названия вредоносного файла;
fkdjsadasd.ico - файл, используемый для иконок зашифрованных файлов.
Файл ADA1.exe был использован вымогателями во время атаки на The American Dental Association (сокращенно ADA). Видимо в других атаках вредоносный файл может иметь другое название.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Файл ADA1.exe был использован вымогателями во время атаки на The American Dental Association (сокращенно ADA). Видимо в других атаках вредоносный файл может иметь другое название.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\TEMP\dlaksjdoiwq.jpg
C:\Windows\TEMP\fkdjsadasd.ico
Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-2277218442-1199762539-2004043321-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\AppData\\Local\\Temp\\dlaksjdoiwq.jpg"
Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-2277218442-1199762539-2004043321-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\AppData\\Local\\Temp\\dlaksjdoiwq.jpg"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta\DefaultIcon
@="C:\\Windows\\TEMP\\fkdjsadasd.ico"
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxxs://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxxs://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 3f400f30415941348af21d515a2fc6a3
SHA-1: bd0bf9c987288ca434221d7d81c54a47e913600a
SHA-256: 5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa
Vhash: 055056655d15556148z76hz23z2fz
Imphash: ede5e0724f09124ab3994aacb2b361db
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 31 мая 2022:
Записка: readme.txt
Обнаружения:
ESET-NOD32 -> Win32/Filecoder.BlackBasta.B
Microsoft -> Ransom:Win32/Basta.D!ldr
TrendMicro -> Ransom.Win32.BASTACRYPT.SMYACEDT
Обновление информации от 9 августа 2022:
Сообщение >>
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Вариант от 7 февраля 2023 или раньше:
Расширение: .<random>
Записка: instructions_read_me.txt
Tor-URL: hxxxs://bastad5huzwkepdixedg2gekg7jk22ato24zyllp6lnjx7wdtyctgvyd.onion/
Результаты анализа: VT
Обнаружения:
DrWeb -> Trojan.Encoder.35576
BitDefender -> Generic.Ransom.Basta.A.88A395AA
ESET-NOD32 -> Win32/Filecoder.BlackBasta.B
Rising -> Ransom.BlackBasta!1.E2C3 (CLASSIC)
TrendMicro -> Ransom.Win32.BLACKBASTA.THDBGBB
=== 2024 ===
Вариант от 24 февраля 2024:
Файл: decryptor.exe
Результаты анализа: VT
Обнаружения:
DrWeb -> Trojan.Encoder.38922
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackBasta.F
Microsoft -> Ransom:Win64/Basta.SAB!MTB
Symantec -> Ransom.Basta
TrendMicro -> PUA.Win32.BlackBasta.A.decryptor
Вариант от 12 марта 2024:
Файл: SPORTSSOUTHBIZ.exe
Результаты анализа: VT
Обнаружения:
DrWeb -> Trojan.Encoder.38377
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackBasta.F
Kaspersky -> HEUR:Trojan-Ransom.Win32.BlackBasta.gen
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:Win32/Basta.PB!MTB
TrendMicro -> Ransom.Win32.BLACKBASTA.SMYACKUT
Вариант от 15 марта 2024:
Записка: instructions_read_me.txt
Файл: sample.exe
Обнаружения:
DrWeb -> Trojan.Encoder.38377
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackBasta.F
Kaspersky -> HEUR:Trojan-Ransom.Win32.BlackBasta.gen
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:Win32/Basta.PB!MTB
Symantec -> Ransom.Basta
TrendMicro -> Ransom.Win32.BLACKBASTA.SMYACKUT
Июнь 2024:
Microsoft продолжает штамповать уязвимости, которыми пользуются хакеры-вымогатели, связанные с группой Black Basta. Статья об очередном факте использования уязвимостей в системах Microsoft. Ссылка >>
Октябрь 2024:
В октябре члены группировки Black Basta изменили свою тактику, теперь они выдают себя за ИТ-поддержку Microsoft Teams и взламывают сети. Учетные записи создаются под именами клиентов Entra ID, которые называются так, чтобы выглядеть как служба поддержки, например:
securityadminhelper.onmicrosoft.com
supportserviceadmin.onmicrosoft.com
и др.
Исследователи утверждают, что внешние пользователи Microsoft Teams находятся в России, а данные о часовом поясе обычно соответствуют Москве. Их цель в том, чтобы снова обманом заставить жертву установить AnyDesk или запустить Quick Assist, чтобы злоумышленники могли получить удаленный доступ к ее устройствам.
После подключения злоумышленники устанавливают вредоносные программы под названием AntispamAccount.exe, AntispamUpdate.exe и AntispamConnectUS.exe.
Статья об этом на сайте BC >>
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage + Message Write-up, Topic of Support Added later: Write-up by BleepingComputer
Thanks: 0x01r3ddw4rf, PCrisk Andrew Ivanov (article author) MalwareHunterTeam, LawrenceAbrams, Vitali Kremez to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.