15/05/22
Black Basta – новая группировка вымогателей, которая успела взломать около десятка компаний по всему миру с апреля 2022 года. В список жертв успели войти Американская стоматологическая ассоциация и крупная немецкая компания по производству ветряных турбин Deutsche Windtechnik.
Исследователи MalwareHunterTeam уже успели связать Black Basta с группировкой Conti, подкрепляя свое предположение сходствами сайтов утечек данных и оплаты “услуг”, а также похожей манерой общения и поведения операторов шифровальщиков.
Хотя атаки Black Basta относительно новые, специалисты уже обнародовали некоторые методы работы злоумышленников. Шифровальщик данных Black Basta требует привилегии администратора для запуска, в противном случае он безвреден. Поэтому для запуска вредоносного ПО группировка выбирает целью атаки легитимные службы Windows. Запустившись, вредонос стирает теневые копии с зараженной системы с помощью vssadmin.exe. Это действие удаляет резервную копию Windows, из-за чего после шифрования данных жертва не сможет вернуть систему в прежнее состояние Затем Black Basta загружает два файла: dlaksjdoiwq.jpg и fkdjsadasd.ico в папку Temp. Второй файл - это пользовательская иконка для всех файлов с расширением “.basta”. Иконка назначается путем создания и установки нового ключа реестра "HKEY_CLASSES_ROOT\.basta\DefaultIcon".
Чтобы закрепиться в системе, Black Basta присваивает себе имя существующей службы, удаляет ее, после чего создает новую службу под названием FAX. Перед началом процедуры шифрования программа проверяет параметры загрузки с помощью API GetSystemMetrics(), а затем добавляет в реестр запись HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Fax для запуска службы FAX в безопасном режиме. После завершения всех настроек программа-вымогатель с помощью bcedit.exechecks настраивает ОС для запуска в безопасном режиме. В результате изменения режима загрузки компьютер перезагрузится в безопасном режиме с запущенной FAX, которая снова запустит вредоноса, но уже для шифрования данных жертвы.
Чтобы предотвратить дальнейшее шифрование, шифровальщик необходимо удалить из ОС. К сожалению, удаление не позволит вернуть уже скомпрометированные данные. Единственным решением остается восстановление из резервной копии, если она была создана до атаки и хранилась не на взломанном устройстве. Кроме того, чтобы избежать необратимой потери данных, специалисты рекомендуют хранить резервные копии в разных местах, например, на удаленных серверах, отключенных от сети устройствах хранения и т.д.
