Новая группировка вымогателей Black Basta – Conti 2.0?

Новая группировка вымогателей Black Basta – Conti 2.0?

Злоумышленники из Black Basta крайне активны с апреля 2022 года.

image

Black Basta – новая группировка вымогателей, которая успела взломать около десятка компаний по всему миру с апреля 2022 года. В список жертв успели войти Американская стоматологическая ассоциация и крупная немецкая компания по производству ветряных турбин Deutsche Windtechnik. Исследователи MalwareHunterTeam уже успели связать Black Basta с группировкой Conti, подкрепляя свое предположение сходствами сайтов утечек данных и оплаты “услуг”, а также похожей манерой общения и поведения операторов шифровальщиков.

Хотя атаки Black Basta относительно новые, специалисты уже обнародовали некоторые методы работы злоумышленников. Шифровальщик данных Black Basta требует привилегии администратора для запуска, в противном случае он безвреден. Поэтому для запуска вредоносного ПО группировка выбирает целью атаки легитимные службы Windows. Запустившись, вредонос стирает теневые копии с зараженной системы с помощью vssadmin.exe. Это действие удаляет резервную копию Windows, из-за чего после шифрования данных жертва не сможет вернуть систему в прежнее состояние Затем Black Basta загружает два файла: dlaksjdoiwq.jpg и fkdjsadasd.ico в папку Temp. Второй файл - это пользовательская иконка для всех файлов с расширением “.basta”. Иконка назначается путем создания и установки нового ключа реестра "HKEY_CLASSES_ROOT\.basta\DefaultIcon".

Чтобы закрепиться в системе, Black Basta присваивает себе имя существующей службы, удаляет ее, после чего создает новую службу под названием FAX. Перед началом процедуры шифрования программа проверяет параметры загрузки с помощью API GetSystemMetrics(), а затем добавляет в реестр запись HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Fax для запуска службы FAX в безопасном режиме. После завершения всех настроек программа-вымогатель с помощью bcedit.exechecks настраивает ОС для запуска в безопасном режиме. В результате изменения режима загрузки компьютер перезагрузится в безопасном режиме с запущенной FAX, которая снова запустит вредоноса, но уже для шифрования данных жертвы.

Чтобы предотвратить дальнейшее шифрование, шифровальщик необходимо удалить из ОС. К сожалению, удаление не позволит вернуть уже скомпрометированные данные. Единственным решением остается восстановление из резервной копии, если она была создана до атаки и хранилась не на взломанном устройстве. Кроме того, чтобы избежать необратимой потери данных, специалисты рекомендуют хранить резервные копии в разных местах, например, на удаленных серверах, отключенных от сети устройствах хранения и т.д.

Мы писали про громкий дебют Black Basta, всего за несколько недель хакеры атаковали как минимум 12 компаний.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!