TTL OSINT

19.09.2024 301 2 мин.

Программа-вымогатель Black Basta: что Вам нужно знать

Black Basta - это группа программ-вымогателей, которая действует как программа-вымогатель как услуга (RaaS), впервые обнаруженная в апреле 2022 года. Она известна тем, что использует методы двойного вымогательства, требуя плату как за расшифровку, так и за неразглашение украденных данных. Группа оказала влияние на более чем 500 организаций в различных отраслях промышленности и критически важной инфраструктуре в Северной Америке, Европе и Австралии. Аффилированные лица Black Basta получают первоначальный доступ с помощью фишинга, Qakbot, Cobalt Strike и использования известных уязвимостей. Оказавшись внутри, они перемещаются по сети, чтобы идентифицировать критически важные системы и данные, прежде чем внедрять программы-вымогатели. Группа была связана с FIND 7 threat actor из-за сходства пользовательских модулей для обхода систем обнаружения конечных точек и реагирования на них (EDR). Цепочка заражения обычно начинается с фишинговой рассылки по электронной почте, в которой размещается вредоносная ссылка или вложение. Загруженные zip-архивы содержат вредоносное по.файлы lnk или Excel, которые загружают и запускают вредоносную программу Qakbot, которая обеспечивает постоянство и связь C2 с субъектом угрозы. Black Basta использует различные инструменты и вредоносное ПО, такие как Systemc, Cobalt Strike, а также легальные инструменты, такие как BITSAdmin, Splashtop, Screen Connect, для различных этапов атак. Двоичный код программы-вымогателя использует vssadmin.exe для удаления файлов теневого копирования и bcdedit.exe для перезагрузки системы в безопасном режиме, чтобы отключить защиту конечных точек. После шифрования он удаляет файлы *.jpg и *.ico в каталог %temp% и изменяет реестр, чтобы изменить фон рабочего стола и значок файла. Программа-вымогатель генерирует несколько экземпляров письма с требованием выкупа, названного либо "readme.txt", либо "инструкции\_read\_me.txt". Для обнаружения подозрительных действий клиенты Qualys Endpoint Detection and Response (EDR) могут использовать специальные поисковые запросы.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.qualys.com/vulnerabilities-threat-research/2024/09/19/black-basta-ransomware-what-you-need-to-know

Выборочные показатели Compromise:

• 69192821f8ce4561cf9c9cb494a133584179116cb2e7409bea3e18901a1ca944
• 723d1cf3d74fb3ce95a77ed9dff257a78c8af8e67a82963230dd073781074224
• limitedtoday.com
• artspathgroup.net
• 5211ad84270862e68026ce8e6c15c1f8499551e19d2967c349b46d3f8cfcdcaa

Источник: TTL OSINT