Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Опубликован отчет с показателями компрометации (IOC) вымогателя Black Basta

23/09/24

hack145-3

Группировка Black Basta, занимающаяся вымогательством, впервые была зафиксирована в апреле 2022 года, напоминает Securitylab. Она использует модель вымогательства как услугу (Ransomware-as-a-Service, RaaS) и известна своей тактикой двойного вымогательства, когда жертва должна заплатить не только за восстановление данных, но и за их нераспространение. На ранних стадиях действия Black Basta демонстрировали сходство с методами другой известной группировки — Conti.

Black Basta оказала влияние на многие отрасли, включая критически важные инфраструктуры в Северной Америке, Европе и Австралии, пишет Securitylab. По данным на сегодняшний день, от атак пострадало более 500 организаций по всему миру. Первоначальный доступ злоумышленники получают с помощью стандартных методов, таких как фишинг, Qakbot, Cobalt Strike и эксплуатация известных уязвимостей. Войдя в сеть, злоумышленники перемещаются по ней, исследуя важные системы и данные, прежде чем активировать шифровальщик. По ряду признаков действия Black Basta связаны с группировкой FIN7, что подтверждается использованием схожих инструментов для обхода систем обнаружения угроз.

Black Basta активно использует различные инструменты, такие как Mimikatz, Cobalt Strike, PowerShell и другие легитимные программы, для осуществления своих атак. Они также эксплуатируют уязвимости, включая такие как ZeroLogon (CVE-2020-1472), PrintNightmare (CVE-2021-34527) и NoPac (CVE-2021-42287), что позволяет им получать привилегии администратора и перемещаться внутри сети.

Атаки Black Basta обычно начинаются с рассылки фишинговых писем, содержащих вредоносные файлы или ссылки. Одним из часто используемых инструментов является Qakbot, который после заражения устанавливает соединение с сервером управления и контроля (C2) для загрузки дополнительных вредоносных программ, таких как SystemBC или Cobalt Strike, а также легитимных инструментов для удаленного управления. Злоумышленники используют такие инструменты, как RClone и WinSCP, для кражи данных, после чего на устройствах жертвы разворачивается шифровальщик Black Basta.

Особенностью атак Black Basta является использование алгоритма шифрования ChaCha20, ключ которого дополнительно шифруется с использованием RSA-4096, что затрудняет восстановление данных без участия злоумышленников. После шифрования данных на компьютере жертвы изменяется фон рабочего стола, добавляются инструкции с требованием выкупа, а также файлы «readme.txt» или «instructions_read_me.txt» с подробностями о том, как можно вернуть доступ к данным.

Black Basta активно использует двойное вымогательство: сначала крадёт данные, а затем шифрует их, угрожая опубликовать конфиденциальную информацию в случае отказа от оплаты выкупа.

Темы:ИсследованиеУгрозыВымогателиQualys
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...