Unit 42, група аналізу зловмисного програмного забезпечення Palo Alto Networks, опублікувала звіт із детальною інформацією про групу програм-вимагачів Black Basta, яка вперше з’явилася у квітні 2022 року і з тих пір зростає.
З моменту появи програм-вимагачів члени групи були дуже активними в розповсюдженні та вимаганні компаній. Зловмисники ведуть ринок кіберзлочинності та ведуть блог, де група перераховує імена своїх жертв, описи, відсоток публікацій, кількість відвідувань та будь-які викрадені дані.
Чорний Баста веде власну сторінку витоку
Хоча учасники були активними лише кілька місяців, згідно з інформацією, опублікованою на їхньому сайті витоку, вони вже скомпрометували понад 75 компаній та установ. Серед інших ключових висновків розслідування Palo Alto Networks:
- · RaaS використовує подвійне вимагання як частину атак.
- Дані щонайменше 20 жертв були опубліковані на сайті витоку за перші два тижні розгортання програми-вимагача.
- · Група, як повідомляється, націлилася на кілька великих компаній у сфері споживчої та промислової продукції, енергетики, ресурсів і сільського господарства, виробництва, комунальних послуг, транспорту, державних установ, професійних послуг і консалтингу, а також у секторах нерухомості.
Чорний баста - короткий зміст
Black Basta — це програма-вимагач як послуга (RaaS), яка вперше з’явилася у квітні 2022 року. Однак є докази того, що він розроблявся з лютого. Оператори Black Basta використовують техніку подвійного вимагання. Вони не тільки шифрують файли в цільових системах і вимагають викуп за розшифровку, вони також підтримують сайт витоку в темній мережі, де погрожують оприлюднити конфіденційну інформацію, якщо жертва не заплатить викуп. Партнери Black Basta були дуже активними в поширенні Black Basta та вимаганні бізнесу з моменту появи програми-вимагача. Хоча вони були активні лише кілька місяців, згідно з інформацією, опублікованою на їхньому сайті витоку, вони вже заразили понад 75 компаній та установ на момент цієї публікації. Підрозділ 42 також працював над кількома справами Black Basta.
Black Basta шифрує лише частини файлів
Програма-вимагач написана мовою C++ і впливає як на операційні системи Windows, так і на Linux. Він шифрує дані користувачів за допомогою комбінації ChaCha20 і RSA-4096. Щоб прискорити процес шифрування, програмне забезпечення-вимагач шифрує фрагменти по 64 байти, залишаючи незашифрованими 128 байт даних між зашифрованими розділами. Чим швидше шифрує програма-вимагач, тим більше систем може бути скомпрометовано до того, як спрацює захист. Це важливий фактор, на який звертають увагу партнери, приєднуючись до групи програм-вимагачів як послуги.
QBot служить точкою входу
Підрозділ 42 Palo Alto Networks помітив, що група програм-вимагачів Black Basta використовує QBot як свою першу точку входу для бокового переміщення в скомпрометованих мережах. QBot, також відомий як Qakbot, — це різновид зловмисного програмного забезпечення Windows, який почався як банківський троян, а потім перетворився на розповсюджувач шкідливих програм. Його також використовували інші групи програм-вимагачів, зокрема MegaCortex, ProLock, DoppelPaymer і Egregor. У той час як ці групи програм-вимагачів використовували QBot для початкового входу, група Black Basta використовувала QBot як для початкового входу, так і для розповсюдження через мережу.
Будуть нові атаки
Оскільки атаки Black Basta у 2022 році стали глобальною сенсацією та повторювалися, цілком ймовірно, що оператори та/або їхні афілійовані партнери, що стоять за цією службою, продовжуватимуть націлюватися на бізнес і вимагати здирників. Також можливо, що це не нова операція, а скоріше перезавантаження попередньої групи програм-вимагачів, яка привела з собою своїх партнерів. Через численні подібності в тактиках, техніках і процедурах, таких як блоги, що ганьблять жертв, портали відновлення, тактика переговорів і те, наскільки швидко Чорний Баста збирав своїх жертв, група могла включати нинішніх або колишніх членів групи Конті. Більше інформації про цей аналіз, який слідує за іншими недавніми дослідженнями програм-вимагачів, такими як Blue Sky і Cuba, доступно онлайн на сайті PaloAltoNetworks' Unit42.
Більше PaloAltoNetworks.com
Про Palo Alto Networks Palo Alto Networks, світовий лідер у сфері рішень для кібербезпеки, формує хмарне майбутнє за допомогою технологій, які змінюють спосіб роботи людей і компаній. Наша місія — бути кращим партнером із кібербезпеки та захищати наш цифровий спосіб життя. Ми допомагаємо вам вирішувати найбільші світові виклики безпеки за допомогою безперервних інновацій, використовуючи останні досягнення в області штучного інтелекту, аналітики, автоматизації та оркестровки. Пропонуючи інтегровану платформу та надаючи можливості зростаючій екосистемі партнерів, ми є лідерами у захисті десятків тисяч компаній у хмарах, мережах і мобільних пристроях. Наше бачення — це світ, у якому кожен день безпечніший за попередній.