Black Basta: за кулисами цифрового шантажа

Почему угрозы становятся глобальными и масштабными.


pd6fuj3otn0c58vm3xlusr74a4muizzt.jpg

Qualys опубликовала отчет с показателями компрометации (IOC) программы-вымогателя Black Basta . Группировка Black Basta, занимающаяся вымогательством, впервые была зафиксирована в апреле 2022 года. Она использует модель вымогательства как услугу ( Ransomware -as-a-Service, RaaS) и известна своей тактикой двойного вымогательства, когда жертва должна заплатить не только за восстановление данных, но и за их нераспространение. На ранних стадиях действия Black Basta демонстрировали сходство с методами другой известной группировки — Conti.

Black Basta оказала влияние на многие отрасли, включая критически важные инфраструктуры в Северной Америке, Европе и Австралии. По данным на сегодняшний день, от атак пострадало более 500 организаций по всему миру. Первоначальный доступ злоумышленники получают с помощью стандартных методов, таких как фишинг, Qakbot, Cobalt Strike и эксплуатация известных уязвимостей. Войдя в сеть, злоумышленники перемещаются по ней, исследуя важные системы и данные, прежде чем активировать шифровальщик. По ряду признаков действия Black Basta связаны с группировкой FIN7, что подтверждается использованием схожих инструментов для обхода систем обнаружения угроз.

Black Basta активно использует различные инструменты, такие как Mimikatz, Cobalt Strike, PowerShell и другие легитимные программы, для осуществления своих атак. Они также эксплуатируют уязвимости, включая такие как ZeroLogon (CVE-2020-1472), PrintNightmare (CVE-2021-34527) и NoPac (CVE-2021-42287), что позволяет им получать привилегии администратора и перемещаться внутри сети.

Атаки Black Basta обычно начинаются с рассылки фишинговых писем, содержащих вредоносные файлы или ссылки. Одним из часто используемых инструментов является Qakbot, который после заражения устанавливает соединение с сервером управления и контроля (C2) для загрузки дополнительных вредоносных программ, таких как SystemBC или Cobalt Strike, а также легитимных инструментов для удаленного управления. Злоумышленники используют такие инструменты, как RClone и WinSCP, для кражи данных, после чего на устройствах жертвы разворачивается шифровальщик Black Basta.

Особенностью атак Black Basta является использование алгоритма шифрования ChaCha20, ключ которого дополнительно шифруется с использованием RSA-4096, что затрудняет восстановление данных без участия злоумышленников. После шифрования данных на компьютере жертвы изменяется фон рабочего стола, добавляются инструкции с требованием выкупа, а также файлы «readme.txt» или «instructions_read_me.txt» с подробностями о том, как можно вернуть доступ к данным.

Black Basta активно использует двойное вымогательство: сначала крадёт данные, а затем шифрует их, угрожая опубликовать конфиденциальную информацию в случае отказа от оплаты выкупа.