Эксперты по кибербезопасности очень обеспокоены чрезвычайно опасным вредоносным ПО, известным как Black Basta.
Киберпреступники исходят из того, что нарушение авторитетных компаний является ключом к выживанию в постоянно меняющейся цифровой среде. Такой образ мышления вдохновляет их на инновации и создание мощных наступательных стратегий. Из-за того, что организации улучшили свой периметр кибербезопасности, преступники-одиночки превратились в банды вымогателей, объединившись с другими игроками-единомышленниками. Они могут нацеливаться на несколько компаний одновременно и получать больше вознаграждения, объединяясь. Отчеты BlackFog с данными за 2022 год показывают, что враждебные хакеры и банды вымогателей сосредоточены на таких секторах, как технологии, производство, здравоохранение и правительство. Резкий рост среднего спроса на программы-вымогатели, который увеличился на 518 процентов в 2021 году по сравнению с 2020 годом, можно использовать для измерения воздействия таких банд. Black Basta — одна из самых последних групп программ-вымогателей.
Штамм программы-вымогателя, согласно свидетельствам, все еще находился в стадии разработки еще в феврале 2022 года, и только после того, как он был объявлен на форумах темной сети, чтобы купить и монетизировать доступ к корпоративной сети в обмен на часть прибыли, он начал использоваться в атаках, начиная с апреля. Эта банда нацелена на предприятия, которые охватывают отрасли и местоположения. Менее чем за месяц эта банда киберпреступников скомпрометировала 12 различных компаний, включая Американскую стоматологическую ассоциацию и Deutsche Windtechnik.
Программа-вымогатель Black Basta, используемая этой сетью программ-вымогателей, использует различные методы вымогательства. Для выполнения процедуры шифрования алгоритму шифрования требуется административный доступ. Эта банда использует вредоносное ПО, которое очень сложно идентифицировать, поскольку оно действует скрытно и редко проявляет какие-либо признаки. Любые запущенные в данный момент службы Windows перенимаются и используются для запуска процесса алгоритма, например служба факсов Windows. Кроме того, он крадет конфиденциальные и частные корпоративные данные перед их шифрованием. Делая это, банда вымогателей угрожает освободить жертву, если ей не заплатят. Чтобы оказать давление на бизнес, банда, как известно, использует подход двойного вымогательства и сливает в сеть несколько файлов за раз.
Каждый файл на компьютере жертвы шифруется и после эксфильтрации получает расширение «.basta». Вымогатель изменит фон рабочего стола жертвы, чтобы отобразить следующее сообщение в качестве предупреждения: «Ваша сеть была зашифрована группой Black Basta. Инструкции в файле readme.txt». Ссылка и индивидуальный идентификатор, необходимые для согласования выкупа, будут в этом текстовом файле. Программа-вымогатель также направляет жертв на сайты «Black Basta Blog» или «Basta News», которые размещены бандой в сети Tor. Эти веб-сайты отображают список всех жертв Black Basta, которые отказались возместить ущерб. Майкл Гиллеспи, специалист по кибербезопасности, изучил процедуру шифрования этой программы-вымогателя и пришел к выводу, что для шифрования данных используется алгоритм ChaCha20. В этом методе шифрования ChaCha20 используется надежный открытый ключ RSA-4096.
Известно, что Black Basta использует проверенную стратегию двойного вымогательства, аналогичную предыдущим операциям с программами-вымогателями, для кражи важной информации у целей и угроз распространения украденных данных, если не будет произведен цифровой платеж.
Взломы, связанные с угрозой, новичком на уже переполненной арене программ-вымогателей, использовали QBot (также известный как Qakbot) в качестве канала для сохранения постоянства в скомпрометированных системах и сбора учетных данных, прежде чем идти в боковом направлении по сети и распространять вредоносное ПО, шифрующее файлы. .
Согласно сообщениям, организация Conti, которая прекратила свою деятельность в ответ на усиленное расследование со стороны правоохранительных органов и крупную утечку, которая раскрыла ее инструменты и методы после того, как она встала на сторону России в конфликте страны с Украиной, состоит из членов Black Basta.
«Растущая активность Conti и утечка данных свидетельствуют о том, что программы-вымогатели больше не являются игрой между средними разработчиками вредоносного ПО, а являются нелегальной индустрией RaaS, которая дает работу сотням киберпреступников по всему миру с различной специализацией», — сказал Иван Писарев из Group-IB. Прошло всего несколько месяцев с тех пор, как программа-вымогатель Black Basta нанесла ущерб рынку и вынудила компании защищать свои системы от дурака, но, судя по их списку жертв, становится ясно, что их предполагаемые жертвы еще не уделяли приоритетное внимание кибербезопасности организации. что сейчас оказывается дорого.
Сообщение Профессионалы по кибербезопасности предупреждают о программах-вымогателях Black Basta, впервые появившихся на .
