Black Basta 勒索病毒的(de)跨平台攻擊分析
2022-11-21 524
Black Basta 勒索病毒的(de)跨平台攻擊分析 2022年(nián)10月(yuè)24日(rì) 緊急程度:★★★★☆
影響平台:Windows,Linux
尊敬的(de)用戶: 您好(hǎo)!
近(jìn)日(rì),亞信安全截獲了Black Basta勒索病毒家(jiā)族,該家(jiā)族勒索是一款2022年(nián)4 月(yuè)被首次發現(xiàn)的(de)新型勒索病毒,其最初主要針對(duì) Windows 系統進行攻擊,後續于 2022 年(nián) 6 月(yuè)增加了加密 VMware ESXi 虛拟機(jī)的(de)版本。該家(jiā)族會利用電(diàn)子(zǐ)郵件(jiàn)攜帶 QAKBOT 木馬、PrintNightmare 漏洞利用、第三方網站、系統漏洞、後門程序、破解軟件(jiàn)以及虛假安裝程序等多種方式傳播。其還(hái)采用了雙重勒索策略,不僅加密數據,還(hái)會竊取用戶的(de)密碼和(hé)憑據。
Black Basta勒索軟件(jiàn)已經實現(xiàn)跨平台攻擊,其針對(duì) Windows 系統和(hé) ESXi 系統發起攻擊。 Windows 版本的(de)勒索軟件(jiàn)主要功能是更換桌面壁紙、加密文(wén)件(jiàn)和(hé)删除卷影副本;ESXi版本以文(wén)件(jiàn)夾 /vmfs/volumes 為(wèi)加密目标,程序支持命令行參數“-forcepath”,該參數隻用于加密指定目錄下(xià)的(de)文(wén)件(jiàn)。該勒索軟件(jiàn)在加密過程中混合使用了 ChaCha20 和(hé)RSA算(suàn)法,使用 ChaCha20 算(suàn)法加密文(wén)件(jiàn),通(tōng)過使用 Mini-GMP 庫實現(xiàn)了 RSA 算(suàn)法,然後使用 RSA 公鑰對(duì)ChaCha20 加密密鑰進行加密,并在加密文(wén)件(jiàn)尾部寫入被加密過的(de)密鑰,在文(wén)件(jiàn)夾中留下(xià)勒索信息說(shuō)明(míng)文(wén)件(jiàn)。
攻擊流程:
|
亞信安全産品解決方案
ü 亞信安全病毒碼版本17.881.60,雲病毒碼版本17.881.71,全球碼版本17.881.00已經可以檢測該勒索病毒中對(duì)外(wài)公開(kāi)的(de)樣本,請用戶及時(shí)升級病毒碼版本。
ü 亞信安全DDAN沙盒平台可以有(yǒu)效檢測出該家(jiā)族勒索樣本的(de)行為(wèi):
安全建議(yì)
ü 采用高(gāo)強度密碼,避免使用弱口令,避免多個(gè)密碼相(xiàng)同,定期更換密碼;
ü 不要點擊來(lái)源不明(míng)的(de)郵件(jiàn)以及附件(jiàn)。;
ü 不要點擊來(lái)源不明(míng)的(de)郵件(jiàn)中包含的(de)鏈接;
ü 請到正規網站或者應用商店下(xià)載程序;
ü 保持系統更新以及安軟件(jiàn)的(de)更新;
ü 請注意備份重要文(wén)檔。備份的(de)最佳做法是采取3-2-1規則,即至少做三個(gè)副本,用兩種不同格式保存,并将副本放(fàng)在異地(dì)存儲。
IOCs
HASH | 亞信安全檢測名 |
1cad451cedeb9967c790c1671cd2e3482de87e3e802953f28e426642894ceb7b | Ransom.Win32.BLACKBASTA.YACEDT |
17205c43189c22dfcb278f5cc45c2562f622b0b6280dcd43cc1d3c274095eb90 | Ransom.Win32.BLACKBASTA.YXCD2 |
7883f01096db9bcf090c2317749b6873036c27ba92451b212b8645770e1f0b8a | Ransom.Win32.BLACKBASTA.YXCD2 |
5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa | Ransom.Win32.BLACKBASTA.THDBGBB |
ae7c868713e1d02b4db60128c651eb1e3f6a33c02544cc4cb57c3aa6c6581b6e | Ransom.Win32.BLACKBASTA.THDBIBB |
96339a7e87ffce6ced247feb9b4cb7c05b83ca315976a9522155bad726b8e5be | Ransom.Linux.BLACKBASTA.YXCFT |
0d6c3de5aebbbe85939d7588150edf7b7bdc712fceb6a83d79e65b6f79bfc2ef | Ransom.Linux.BLACKBASTA.YXCFJ |
48976d7bf38cca4e952507e9ab27e3874ca01092eed53d0fde89c5966e9533bb | Ransom.Win32.BLACKBASTA.SMYXCEP |