BLACKBASTA勒索软件攻击分析6月初,据报道,BlackBasta勒索软件团伙与OperationQBotMalware合作传播他们的勒索软件。当然,这并不是勒索软件团伙第一次与QBot合作,将其用作主要分销商。勒索软件领域的许多“大玩家”以前都这样做过,包括MegaCortex、ProLock、DoppelPaymer、Conti和Egregor。这些合作伙伴关系在过去已经证明了自己,而BlackBasta可能试图效仿大玩家的做法,因此决定也这样做。QBot的使用为勒索软件操作员节省了时间。QBot具有许多对攻击者非常有用的内置功能。其中一些用于执行侦察、收集数据和凭据、横向移动以及下载和执行有效载荷。在获得凭据并了解网络架构后,攻击者将目标定为域控制器并使用PsExec进行横向移动。一旦成功入侵,攻击者就会“做好准备”并执行旨在避免检测和预防的最终程序。攻击者在受感染的DC上创建组策略对象(GPO)以禁用WindowsDefender并试图关闭所有防病毒产品。有趣的是,过去在QBot-Egregor攻击中也观察到了这种技术。攻击的最后阶段是将勒索软件部署到目标端点。为此,攻击者使用了一个编码的PowerShell命令,该命令利用WMI将勒索软件二进制文件推送到攻击之前创建的文件C:\Windows\pc_list.txt中包含的IP地址。BLACKBASTARANSOwareBlackBasta勒索软件是攻击的最终有效载荷。与大多数勒索软件一样,它旨在加密机器上的文件并向用户留下勒索字条。一旦执行,勒索软件会使用vssadmin.exe删除系统的虚拟卷影副本,vssadmin.exe是一个管理卷影复制服务(VSS)的命令行工具,它捕获并复制稳定的映像以在系统上运行并进行备份。勒索软件通常使用vssadmin.exe在加密文件之前删除卷影副本和其他文件备份。这是确保受害者在无法从VSS解密或检索有价值的文件时被迫支付解密费用的另一种方法:Cyber??easonDefensePlatform中显示的BlackBasta执行勒索软件将两个文件放入%TEMP%:a是加密文件(名为“fkdjsadasd.ico”),另一个是用作背景图片的.jpg文件(名为“dlaksjdoiwq.jpg”):当勒索软件启动其加密程序时,它首先在遍历文件时更改桌面背景图片并对其进行加密。扩展名“.basta”被添加到加密文件中,恶意软件在每个文件夹中放置了一个名为“readme.txt”的赎金票据。赎金票据是为受害者定制的,包括受害者在谈判聊天中使用的唯一ID:BlackBasta壁纸加密文件和赎金票据LINUX版本6月初,BlackBasta增加了对企业Linux服务器的支持对运行VMware的加密支持ESXi虚拟机(VM)。这种策略在不同的勒索软件组织中广受欢迎,因为它符合他们的公司目标,并且还可以通过单个命令更快地加密多个服务器。这些团伙包括:LockBit、Hive和Cheerscrypt。执行时,BlackBasta会寻找/vmfs/volumes,如果路径不存在,勒索软件会抛出“错误”——“此系统上不存在该路径”并退出:BlackBastacreateserrormessagesLinuxversionsexceptESXi-centric此外,与Windows版本有许多相似之处。两种变体在加密期间显示相同的消息:“完成时间:%.4f秒,加密:%.4fgb”:变体之间的相似性-“完成时间”消息两种变体还共享在BlackBasta中发现的相同独特字符串:“ERRRRRRRRRROr”和“错误755”:变体之间的相似性-“ERRRRRRRRRor”唯一字符串两个变体赎金记录(readme.txt)是相同的:对新的BlackBasta知之甚少,因为他们尚未开始营销业务或招募分支机构黑客论坛。然而,由于它们能够迅速聚集新的受害者,许多研究人员认为这不是他们的第一次。
