Ny ransomware-trussel, Black Basta, skaber opmærksomhed
Den Black Basta ransomware bande har nået et højt niveau af succes på kort tid og er muligvis en udløber af Conti og REvil.
Mange ransomware-bander er steget til toppen gennem årene kun for pludselig at opløses og erstattes af andre. Sikkerhedsforskere mener, at mange af disse bevægelser i ransomware-rummet er forsætlige rebranding-bestræbelser på at smide retshåndhævelse, når varmen bliver for høj. Dette er også mistanken for Black Basta, en relativt ny ransomware-operation, der oplevede øjeblikkelig succes i flere måneders drift. Nogle mener, at den er splintret ud af den berygtede Conti-bande.
Black Basta blev først opdaget i april 2022, men forskere fandt bevis for, at operationen blev lanceret i februar, og det tog tid at teste den nye malware-stamme. Banden bag den engagerer sig i dobbelt afpresning, der kombinerer filkryptering med afpresning af datalækage og har påtaget sig ansvaret for at kompromittere mindst 50 organisationer indtil videre.
Black Basta-banden har et højt ekspertiseniveau
Selvom banden sendte beskeder på cyberkriminelle fora, der tilbyder at købe netværksadgangsoplysninger til organisationer i USA, Canada, Storbritannien, Australien og New Zealand, har den ikke åbent rekrutteret tilknyttede virksomheder. På trods af dette har det været en succes på kort tid, hvilket får nogle forskere til at tro, at de allerede startede med betydelig intern ekspertise.
En teori er, at Black Basta blev oprettet af tidligere medlemmer af Conti- og REvil-banderne, som begge blev mørke efter at have fået stor opmærksomhed. REvil, en af de mest succesrige ransomware-bander i de sidste par år, lukkede sine operationer sidste år. I januar blev det meddelt, at den russiske FSB arresterede to nøglemedlemmer, hvoraf et af dem var involveret i angrebet på Colonial Pipeline i 2021, der forårsagede brændstofforstyrrelser på den amerikanske østkyst. Conti, en anden højt profileret ransomware-bande, lukkede ned i maj efter at have ramt flere costaricanske regeringsorganer, der fik det amerikanske udenrigsministerium til at lægge en belønning på 10 millioner dollars på identiteten eller placeringen af Contis ledere.
Forskere bemærkede også ligheder mellem Black Basta og Conti lækage steder samt i, hvordan deres respektive forhandlingshold fungerer. Conti-repræsentanter afviste senere enhver forbindelse til Black Basta via dets lækageside og henviste til folkene bag Black Basta som børn.
I juni, udmelde sikkerhedsforskere, at Black Basta ser ud til at have indgået et partnerskab med Qbot, et botnet, der tidligere er blevet brugt som et implementeringskøretøj af flere ransomware-operationer, herunder Conti. Qbot startede som en bank trojansk og ud over sin evne til at implementere yderligere malware, det fokuserer på legitimationsoplysninger tyveri og lateral bevægelse.
“Brugen af QBot sparer tid for ransomware-operatører,”Forskere fra Cybereason sagde i en rapport i juni. “QBot har mange indbyggede funktioner, der er meget nyttige for angribere. Nogle af dem plejede at udføre rekognoscering, indsamle data og legitimationsoplysninger, flytte sideværts, og downloade og udføre nyttelast.
Windows og Linux målretning mod ransomware
Efter høst af legitimationsoplysninger og kortlægning af netværket udfører Black Basta-angriberne kode på andre systemer ved hjælp af PsExec med det formål at lokalisere og kompromittere domænecontrolleren. Når dette er opnået, opretter de en gruppepolitik for at deaktivere Windows Defender og andre antivirusprodukter.
Når jorden er sat, angriberne implementere Black Basta ransomware på alle identificerede slutpunktssystemer ved hjælp af en PowerShell-kommando og Windows Management Instrumentation (WMI) interface. Når det udføres på et system, sletter Black Basta-programmet først alle Volume Shadow-kopier og begynder derefter at kryptere filer, undtagen dem med visse udvidelser og placeret i bestemte mapper, der er angivet i en eksklusionsliste.
Filerne er krypteret med ChaCha20 cipher men kun delvist for at fremskynde processen. Den ransomware krypterer bidder af 64 bytes og derefter springer over de næste 128 byte, hvilket er nok til at efterlade filer ubrugelige. ChaCha20-filkrypteringsnøglen er krypteret med en OFFENTLIG RSA-nøgle for at sikre, at kun angribere kan gendanne den med deres tilsvarende private RSA-nøgle. Udvidelsen af de krypterede filer ændres til .basta.
Ud over at ødelægge lokale sikkerhedskopier, Black Basta-angriberne etablerer RDP-forbindelser til Hyper-V-servere og ændrer konfigurationen for Veeam-backupjob og sletter sikkerhedskopierne af virtuelle maskiner, der er hostet på sådanne servere.
I juni opdagede forskere, at Black Basta tilføjede en mekanisme til at kryptere filer på Linux-servere, der er vært for VMware ESXi virtuelle maskiner. Denne kapacitet er også blevet implementeret for nylig af andre ransomware grupper såsom LockBit.
Indtil videre har denne bande udvist et højt niveau af ekspertise og forbindelser i den cyberkriminelle undergrund. Det favoriserer målretning mod organisationer fra engelsktalende lande og udviklede økonomier, udfører menneskedrevne angreb, der involverer lateral bevægelse, engagerer sig i dobbelt afpresning og beder om millioner i løsepenge og har formået at kompromittere mange organisationer på relativt kort tid.
“Det er ret klart, at Black Basta-banden ved, hvad de laver, og de ønsker at spille i den ‘store liga’ af ransomware, den samme liga som Conti, Ryuk, REvil, BlackMatter og andre,”Cybereason-forskerne konkluderede i deres rapport.
Kilde: CSOonline
Foto: Pexels