Black Basta olarak bilinen yeni bir fidye yazılımı çetesi, bu ay hızla faaliyete geçti ve sadece birkaç hafta içinde en az on iki şirketi ihlal etti.
Bilinen ilk siyah Basta saldırıları Nisan ayının ikinci haftasında gerçekleşti, çünkü operasyon dünya çapında şirketlere saldırmaya başladı.
Fidye talepleri mağdurlar arasında değişmekle birlikte, BleepingComputer, Black Basta çetesinden dosyaları şifresini çözmek ve sızıntı yapmak için 2 milyon dolardan fazla talep alan bir kurbanın farkındadır.
Yeni fidye yazılımı çetesi hakkında çok fazla şey bilinmemektedir, çünkü operasyonlarını pazarlamaya veya hackleme forumlarında iştirakleri işe almaya başlamıyorlar.
Bununla birlikte, yeni kurbanları ve müzakerelerin tarzını hızlı bir şekilde toplama yetenekleri nedeniyle, bu muhtemelen yeni bir operasyon değil, iştiraklerini getiren önceki üst düzey fidye yazılımı çetesinin yeniden markasıdır.
Diğer kurumsal hedefleme fidye yazılımı operasyonları gibi, Black Basta da bir şirketin cihazlarını şifrelemeden önce kurumsal veri ve belgeler çalacaktır.
Bu çalınan veriler daha sonra, tehdit aktörlerinin bir şifreleme alması ve kurbanın çalınan verilerinin yayınlanmasını önlemek için bir fidye talep ettiği çift genişlemeli saldırılarda kullanılır.
Bu saldırıların veri gasp kısmı, fidye ödemeyen tüm kurbanların bir listesini içeren 'Black Basta Blog' veya 'Basta News' Tor sitesinde gerçekleştirilir. Black Basta, her bir kurbanın fidye ödemeye baskı yapmaya çalışmak için yavaşça verileri sızdıracaktır.
Black Basta veri sızıntısı sitesi şu anda ihlal ettikleri on şirket için veri sızıntı sayfaları içermektedir. Bununla birlikte, BleepingComputer şu anda veri sızıntısı sitesinde listelenmemiş diğer kurbanları bilir.
En son listelenen kurbanları, 11 Nisan'da siber saldırıya maruz kalan ancak bunun fidye yazılımı saldırısı olduğunu açıklamayan Deutsche Windtechnik.
Dün, veri sızıntısı sitesi, 22 Nisan'da saldırıya uğrayan Amerikan Dişhekimleri Birliği'nin verilerini de sızdırmaya başladı, ancak bu sayfa o zamandan beri kaldırıldı. Sayfalarının kaldırılması, şirketin tehdit aktörleriyle müzakere ettiğini göstermektedir.
BleepingComputer, çevrimiçi örneklerden siyah Basta fidye yazılımlarının kısa bir analizini gerçekleştirdi.
Yürütüldüğünde, Black Basta şifrelemesinin idari ayrıcalıklarla çalıştırılması gerekir veya dosyaları şifrelemez. Başlatıldıktan sonra, şifreleme aşağıdaki komutu kullanarak Volume Shadow kopyalarını silecektir:
Daha sonra mevcut bir Windows hizmetini ele geçirir ve Fidye Yazılım Şifreleme Yürütülebilir dosyasını başlatmak için kullanır. Testlerimizde, kaçırılan Windows hizmeti, aşağıda gösterildiği gibi 'Faks' hizmeti idi.
Fidye yazılımı, "Ağınız Black Basta Grubu tarafından şifreleniyor. ReadMe.txt dosyasındaki talimatlar" belirten bir mesaj görüntülemek için duvar kağıdını da değiştirecektir.
Fidye yazılımı artık bilgisayarı ağ ile yeniden başlatacak, burada kaçırılan Windows hizmetinin başlayacağı ve otomatik olarak cihazdaki dosyaları şifrelemeye başlayacak.
Black Basta'nın şifreleme sürecini analiz eden fidye yazılımı uzmanı Michael Gillespie, BleepingComputer'a dosyaları şifrelemek için ChaCha20 algoritmasını kullandığını söyledi. Chacha20 şifreleme anahtarı daha sonra yürütülebilir dosyaya dahil olan genel bir RSA-4096 anahtarı ile şifrelenir.
Dosyaları şifrelerken, fidye yazılımı .basta uzantısını şifrelenmiş dosyanın adına ekler. Örneğin, Test.jpg şifrelenir ve test.jpg.basta olarak yeniden adlandırılır.
.Basta uzantısı ile ilişkili özel simgeyi görüntülemek için, fidye yazılımı Windows kayıt defterinde özel bir uzantı oluşturacak ve simgeyi % Temp % klasöründe rastgele adlandırılmış bir ICO dosyasıyla ilişkilendirecektir. Bu özel simge, Icy.tools uygulaması tarafından kullanılan bir simgeye çok benzer.
Windows Kayıt Defteri Editörü Sürüm 5.00
[HKEY_LOCAL_MACHINE \ Software \ Sınıflar \ .basta]
[HKEY_LOCAL_MACHINE \ Software \ Sınıflar \ .basta \ defaulticon] @= "C: \\ windows \\ temp \\ fkdjsadasd.ico"
Şifrelenmiş cihazdaki her klasörde, fidye yazılımı, saldırı hakkında bilgi içeren bir ReadMe.txt dosyası ve müzakere sohbet oturumlarında oturum açmak için gereken bir bağlantı ve benzersiz kimlik oluşturur.
TOR müzakere sitesi 'Chat Black Basta' başlıklıdır ve sadece bir giriş ekranı ve tehdit aktörleriyle müzakere etmek için kullanılabilecek bir web sohbeti içerir.
Tehdit aktörleri bu ekranı fidye talebi içeren hoş geldiniz mesajı, yedi gün içinde ödeme yapılmazsa verilerin sızdırılacağı tehdidi ve fidye ödendikten sonra bir güvenlik raporu vaadi vermek için kullanır.
Ne yazık ki, Gillespie şifreleme algoritmasının güvenli olduğunu ve dosyaları ücretsiz olarak kurtarmanın bir yolu olmadığını söylüyor.
Black Basta'nın kurbanları ne kadar çabuk biriktirdiğine ve müzakerelerinin tarzına dayanarak, bu muhtemelen deneyimli bir operasyonun yeniden markasıdır.
Güvenlik araştırmacısı MalwarehunterTeam ve bu yazar arasında tartışılan bir teori, Black Basta'nın muhtemelen Conti fidye yazılımı operasyonunun yaklaşan bir markası olduğudur.
Conti, Ukraynalı bir araştırmacının özel konuşmaların hazine ve fidye yazılımının kaynak kodunu sızdırmasından sonra son iki aydır ağır bir inceleme altında.
Bu nedenle, Conti'nin kolluk kuvvetlerinden kaçınmak ve farklı bir isim altında başlamak için operasyonlarını yeniden markalaştıracağı tahmin edilmiştir.
Siyah Basta şifrelemesi Conti'den çok farklı olsa da, MalwareHunterteam müzakere tarzlarında ve web sitesi tasarımlarında çok sayıda benzerlik olduğuna inanıyor.
Ayrıca Black Basta, müzakerenin bir ekran görüntüsü sızdırıldıktan sonra yepyeni bir kurbanın verilerini yayınladı.
Bu "ceza", Conti'nin Twitter'da sızan müzakerelerin gelgitini ortaya çıkarmak için tanıtılanla aynı.
Bu bağlantılar sürekli olsa da, siyah Basta çetesinin operasyonlarına yeni başladıkları için yakından izlenmesi gerekiyor.
Yeni Black Basta Fidye Yazılımı'na vurulan Amerikan Dişhekimliği Derneği
Rüzgar türbini firması Nordex, Conti Fidye Saldırısı tarafından vuruldu
Bilgisayar korsanları, Rus şirketlerine saldırmak için Conti'nin sızdırılmış fidye yazılımlarını kullanıyor
Lüks moda evi Zegna, Ağustos fidye yazılımı saldırısını onayladı
Conti fidye yazılımı saldırısı tarafından bozulan Shutterfly hizmetleri
Kaynak: Bleeping Computer