Geng ransomware baru yang dikenal sebagai Black Basta dengan cepat diluncurkan ke dalam operasi bulan ini, melanggar setidaknya dua belas perusahaan hanya dalam beberapa minggu.
Serangan Black Basta pertama yang diketahui terjadi pada minggu kedua bulan April, saat operasi tersebut dengan cepat mulai menyerang perusahaan di seluruh dunia.
Sementara tuntutan tebusan kemungkinan bervariasi antara korban, Salah satu korban yang menerima lebih dari $ 2 juta permintaan dari geng Black Basta untuk mendekripsi file dan tidak membocorkan data.
Seperti operasi ransomware penargetan perusahaan lainnya, Black Basta akan mencuri data dan dokumen perusahaan sebelum mengenkripsi perangkat perusahaan.
Data yang dicuri ini kemudian digunakan dalam serangan pemerasan ganda, di mana pelaku ancaman meminta uang tebusan untuk menerima decryptor dan mencegah penerbitan data korban yang dicuri.
Bagian pemerasan data dari serangan ini dilakukan di situs ‘Black Basta Blog’ atau ‘Basta News’ Tor, yang berisi daftar semua korban yang belum membayar uang tebusan. Black Basta perlahan akan membocorkan data setiap korban untuk mencoba dan menekan mereka agar membayar uang tebusan.
Sumber: BleepingComputer
Situs kebocoran data Black Basta saat ini memuat halaman kebocoran data sepuluh perusahaan yang mereka langgar.
Korban terbaru mereka yang terdaftar adalah Deutsche Windtechnik, yang mengalami serangan cyber pada 11 April tetapi tidak mengungkapkan bahwa itu adalah serangan ransomware.
Kemarin, situs pembocor data juga mulai membocorkan data American Dental Association, yang diserang pada 22 April, tetapi halaman itu telah dihapus. Penghapusan halaman mereka menunjukkan bahwa perusahaan sedang bernegosiasi dengan pelaku ancaman.
Saat dijalankan, encryptor Black Basta perlu dijalankan dengan hak administratif, atau ia tidak akan mengenkripsi file. Setelah diluncurkan, encryptor akan menghapus Volume Shadow Copies menggunakan perintah berikut:
C:\Windows\system32\cmd.exe /c C:\Windows\SysNative\vssadmin.exe hapus bayangan /all /quiet
Kemudian akan membajak layanan Windows yang ada dan menggunakannya untuk meluncurkan enkripsi ransomware yang dapat dieksekusi. Dalam pengujian kami, Layanan Windows yang dibajak adalah layanan ‘Faks’, seperti yang ditunjukkan di bawah ini.
Sumber: BleepingComputer
Ransomware juga akan mengubah wallpaper untuk menampilkan pesan yang menyatakan, “Jaringan Anda dienkripsi oleh grup Black Basta. Petunjuk dalam file readme.txt.”
Sumber: BleepingComputer
Ransomware sekarang akan mem-boot ulang komputer ke Safe Mode with Networking, di mana layanan Windows yang dibajak akan dimulai dan secara otomatis mulai mengenkripsi file pada perangkat.
Pakar Ransomware Michael Gillespie, yang menganalisis proses enkripsi Black Basta, mengatakan bahwa ia menggunakan algoritma ChaCha20 untuk mengenkripsi file. Kunci enkripsi ChaCha20 kemudian dienkripsi dengan kunci RSA-4096 publik yang disertakan dalam file yang dapat dieksekusi.
Saat mengenkripsi file, ransomware akan menambahkan ekstensi .basta ke nama file terenkripsi. Jadi, misalnya, test.jpg akan dienkripsi dan diganti namanya menjadi test.jpg.basta.
Sumber: BleepingComputer
Untuk menampilkan ikon kustom yang terkait dengan ekstensi .basta, ransomware akan membuat ekstensi kustom di Windows Registry dan mengaitkan ikon dengan file ICO bernama acak di folder %Temp%. Ikon kustom ini sangat mirip dengan yang digunakan oleh aplikasi ice.tools.
Di setiap folder pada perangkat terenkripsi, ransomware akan membuat file readme.txt yang berisi informasi tentang serangan dan tautan serta ID unik yang diperlukan untuk masuk ke sesi obrolan negosiasi mereka.
Sumber: BleepingComputer
Situs negosiasi Tor berjudul ‘Obrolan Black Basta’ dan hanya menyertakan layar masuk dan obrolan web yang dapat digunakan untuk bernegosiasi dengan pelaku ancaman.
Pelaku ancaman menggunakan layar ini untuk mengeluarkan pesan selamat datang yang berisi permintaan tebusan, ancaman bahwa data akan bocor jika pembayaran tidak dilakukan dalam tujuh hari, dan janji laporan keamanan setelah uang tebusan dibayarkan.
Sayangnya, Gillespie mengatakan bahwa algoritma enkripsi aman dan tidak ada cara untuk memulihkan file secara gratis.
Berdasarkan seberapa cepat Black Basta mengumpulkan korban dan gaya negosiasi mereka, ini kemungkinan besar merupakan rebranding dari operasi yang berpengalaman.
Satu teori yang dibahas antara peneliti keamanan MalwareHunterTeam dan penulis ini adalah bahwa Black Basta mungkin merupakan rebranding yang akan datang dari operasi ransomware Conti.
Conti telah berada di bawah pengawasan ketat selama dua bulan terakhir setelah seorang peneliti Ukraina membocorkan harta karun berupa percakapan pribadi dan kode sumber ransomware.
Karena itu, telah berspekulasi bahwa Conti akan mengubah citra operasi mereka untuk menghindari penegakan hukum dan memulai dari awal dengan nama yang berbeda.
Sementara encryptor Black Basta sangat berbeda dari Conti, MalwareHunterTeam percaya bahwa ada banyak kesamaan dalam gaya negosiasi dan desain situs web mereka.
Selanjutnya, Black Basta merilis data untuk korban baru setelah tangkapan layar negosiasi bocor.
Sementara koneksi ini lemah, geng Black Basta perlu diawasi secara ketat karena mereka baru saja memulai operasinya.
Sumber: Bleeping Computer
