Χθες έγινε γνωστό ότι η Αμερικανική Οδοντιατρική Ένωση επλήγη από μια κυβερνοεπίθεση. Την ευθύνη για την επίθεση ανέλαβε η ομάδα Black Basta, μια νέα ransomware συμμορία που ξεκίνησε τη δραστηριότητά της πολύ πρόσφατα και έχει παραβιάσει τουλάχιστον δώδεκα εταιρείες μέσα σε λίγες μόνο εβδομάδες.
Οι πρώτες γνωστές επιθέσεις που χρησιμοποίησαν το Black Basta ransomware σημειώθηκαν τη δεύτερη εβδομάδα του Απριλίου.
Οι απαιτήσεις για λύτρα πιθανότατα διαφέρουν μεταξύ των θυμάτων, αλλά σύμφωνα με το BleepingComputer, υπήρχε τουλάχιστον ένα θύμα στο οποίο οι hackers ζήτησαν πάνω από 2 εκατομμύρια δολάρια με αντάλλαγμα την αποκρυπτογράφηση αρχείων και τη μη διαρροή δεδομένων.
Δείτε επίσης: Το Onyx ransomware δεν κρυπτογραφεί αρχεία, τα καταστρέφει
Προς το παρόν, δεν υπάρχουν πολλές πληροφορίες για τη νέα συμμορία ransomware, καθώς οι χειριστές του κακόβουλου λογισμικού κρυπτογράφησης δεν διαφημίζουν τις δραστηριότητές τους ούτε αναζητούν affiliates σε hacking forums. Αν κρίνουμε από τον τρόπο λειτουργίας και την ικανότητα στόχευσης πολλών θυμάτων, θα μπορούσαμε να υποθέσουμε ότι δεν είναι μια νέα επιχείρηση, αλλά μια γνωστή ransomware συμμορία που έχει αλλάξει όνομα και έχει ήδη τα εργαλεία και τους affiliates της.
Black Basta ransomware: Κλέβει δεδομένα πριν την κρυπτογράφηση
Όπως συμβαίνει με τις περισσότερες ransomware επιθέσεις που στοχεύουν επιχειρήσεις, το Black Basta κλέβει πρώτα εταιρικά δεδομένα και έγγραφα και στη συνέχεια προχωρά σε κρυπτογράφηση.
Ο λόγος που οι hackers κλέβουν πρώτα τα δεδομένα, είναι για να ασκήσουν ακόμα μεγαλύτερη πίεση στα θύματα. Αν ο εκβιασμός για την κρυπτογράφηση δεν έχει αποτέλεσμα (τα θύματα αρνούνται να πληρώσουν τα λύτρα), οι επιτιθέμενοι απειλούν ότι θα διαρρεύσουν τα κλεμμένα δεδομένα. Αυτό είναι γνωστό ως τεχνική διπλού εκβιασμού.
Η ransomware ομάδα Black Basta έχει δημιουργήσει ένα site, που περιέχει μια λίστα με όλα τα θύματα που δεν έχουν πληρώσει λύτρα. Εκεί γίνεται και η διαρροή των κλεμμένων δεδομένων.
Ο ιστότοπος διαρροής δεδομένων της Black Basta περιέχει προς το παρόν στοιχεία για δέκα εταιρείες-θύματα. Ωστόσο, σύμφωνα με το BleepingComputer υπάρχουν και κάποια άλλα θύματα που δεν αναφέρονται επί του παρόντος στο site.
Το πιο πρόσφατο καταγεγραμμένο θύμα τους είναι η Deutsche Windtechnik, η οποία υπέστη κυβερνοεπίθεση στις 11 Απριλίου, αλλά δεν είχε αποκαλύψει ότι επρόκειτο για επίθεση ransomware.
Δείτε επίσης: Ransomware: Η ομάδα FIN12 γίνεται πολύ πιο γρήγορη στην κρυπτογράφηση δικτύων
Χθες, το site διαρροής δεδομένων εξέθεσε δεδομένα για την Αμερικανική Οδοντιατρική Ένωση, η οποία υπέστη επίθεση στις 22 Απριλίου. Ωστόσο, αυτή η σελίδα έχει αφαιρεθεί, το οποίο σημαίνει πιθανότατα ότι γίνονται διαπραγματεύσεις μεταξύ του οργανισμού και των επιτιθέμενων.
Μια βαθύτερη ανάλυση του Black Basta ransomware
Σύμφωνα με το BleepingComputer, το Black Basta encryptor πρέπει να εκτελείται με δικαιώματα διαχειριστή, διαφορετικά δεν κρυπτογραφεί αρχεία. Μόλις εκκινηθεί, το encryptor διαγράφει τα Volume Shadow Copies.
Στη συνέχεια, παραβιάζει μια υπάρχουσα υπηρεσία των Windows και τη χρησιμοποιεί για να ξεκινήσει το εκτελέσιμο ransomware.
Το ransomware θα αλλάξει επίσης το wallpaper για να εμφανίσει ένα μήνυμα που θα αναφέρει, “Το δίκτυό σας είναι κρυπτογραφημένο από την ομάδα Black Basta. Οδηγίες στο αρχείο readme.txt.”
Έπειτα, το ransomware θα επανεκκινήσει τον υπολογιστή σε Safe Mode με Networking, όπου η παραβιασμένη υπηρεσία των Windows θα αρχίσει αυτόματα να κρυπτογραφεί τα αρχεία στη συσκευή.
Δείτε επίσης: Κυκλοφόρησε δωρεάν decryptor για θύματα του ransomware Yanluowang
Ο ειδικός στα ransomware, Michael Gillespie, είπε στο BleepingComputer ότι το Black Basta ransomware χρησιμοποιεί τον αλγόριθμο ChaCha20 για την κρυπτογράφηση αρχείων. Κατά την κρυπτογράφηση αρχείων, το ransomware θα προσαρτήσει την επέκταση .basta στο όνομα του κρυπτογραφημένου αρχείου.
Σε κάθε φάκελο, το ransomware θα δημιουργήσει ένα αρχείο readme.txt που περιέχει πληροφορίες σχετικά με την επίθεση και έναν σύνδεσμο για τη συνομιλία και τη διαπραγμάτευση με τους hackers.
Σύμφωνα με τον Gillespie, προς το παρόν δεν υπάρχει τρόπος δωρεάν ανάκτησης των κρυπτογραφημένων δεδομένων.
Όπως είπαμε και παραπάνω, πίσω από το Black Basta ransomware ενδέχεται να βρίσκεται μια ήδη γνωστή ομάδα, η οποία έχει αλλάξει απλά όνομα.
Κάποιοι ειδικοί έχουν πει ότι ίσως το Black Basta να είναι ένα rebrand της λειτουργίας Conti ransomware. Το Conti αντιμετώπισε κάποια θέματα τους τελευταίους δύο μήνες, αφού ένας Ουκρανός ερευνητής διέρρευσε ιδιωτικές συνομιλίες και τον source code του ransomware. Εξαιτίας αυτού, εικάζεται ότι το Conti θα μπορούσε να μετονομάσει τη λειτουργία του για να αποφύγει τις αρχές επιβολής του νόμου και να ξεκινήσει από την αρχή με διαφορετικό όνομα.
Ενώ το Black Basta encryptor είναι πολύ διαφορετικό από αυτό του Conti, το MalwareHunterTeam πιστεύει ότι υπάρχουν πολλές ομοιότητες στο στυλ διαπραγμάτευσης και στο design του website. Όπως και να έχει, τίποτα δεν έχει επιβεβαιωθεί ακόμα.
Πηγή: Bleeping Computer