一个名为 Black Basta 的新勒索软件团伙本月迅速开始行动，在短短几周内就入侵了至少 12 家公司。

第一次已知的 Black Basta 攻击发生在 4 月的第二周，因为该行动迅速开始攻击全球的公司。

虽然赎金要求可能因受害者而异，但ZZQIDC知道一名受害者收到了 Black Basta 帮派超过 200 万美元的要求，要求他们解密文件而不泄露数据。

关于新的勒索软件团伙的其他信息知之甚少，因为他们尚未开始营销其业务或在黑客论坛上招募附属机构。

然而，由于他们能够迅速聚集新受害者以及他们的谈判风格，这可能不是一项新的行动，而是对之前的顶级勒索软件团伙的重新命名，该团伙带来了他们的附属机构。

在加密之前窃取数据
与其他针对企业的勒索软件操作一样，Black Basta 将在加密公司设备之前窃取公司数据和文件。

然后，这些被盗数据被用于双重勒索攻击，威胁参与者要求赎金以接收解密器并阻止受害者被盗数据的发布。

这些攻击的数据勒索部分是在“Black Basta Blog”或“Basta News”Tor 网站上进行的，其中包含所有未支付赎金的受害者的列表。Black Basta 会慢慢泄露每个受害者的数据，试图迫使他们支付赎金。

Black Basta 数据泄露网站
来源：ZZQIDC
Black Basta 数据泄露网站目前包含他们所破坏的 10 家公司的数据泄露页面。但是，ZZQIDC知道数据泄露站点上当前未列出的其他受害者。

他们最近列出的受害者是 Deutsche Windtechnik，他 在 4 月 11 日遭受了网络攻击， 但没有透露这是一次勒索软件攻击。

昨天，数据泄露网站也开始 泄露美国牙科协会的数据，该协会于 4 月 22 日遭到攻击，但该页面已被删除。删除他们的页面表明该公司正在与威胁参与者进行谈判。

ZZQIDC从在线样本中对 Black Basta 勒索软件进行了简要分析。

执行时，Black Basta 加密器需要以管理权限运行，否则不会加密文件。启动后，加密器将使用以下命令删除卷影副本：

C:\Windows\system32\cmd.exe /c C:\Windows\SysNative\vssadmin.exe delete shadows /all /quiet
然后它将劫持现有的 Windows 服务并使用它来启动勒索软件加密器可执行文件。在我们的测试中，被劫持的 Windows 服务是“传真”服务，如下所示。

劫持了用于启动 Black Basta 的 Fax Windows 服务
来源：ZZQIDC
该勒索软件还将更改壁纸以显示一条消息，说明“您的网络已由 Black Basta 组加密。文件 readme.txt 中的说明。”

Black Basta 加密器添加的壁纸
来源：ZZQIDC
勒索软件现在会将计算机重新启动到带网络的安全模式，被劫持的 Windows 服务将启动并自动开始加密设备上的文件。

分析 Black Basta 加密过程的勒索软件专家 Michael Gillespie告诉ZZQIDC，它利用 ChaCha20 算法来加密文件。然后使用可执行文件中包含的公共 RSA-4096 密钥对 ChaCha20 加密密钥进行加密。

在加密文件时，勒索软件会将 .basta 扩展名附加到加密文件的名称中。因此，例如，test.jpg 将被加密并重命名为 test.jpg.basta。

Black Basta 加密文件
来源：ZZQIDC
为了显示与 .basta 扩展名关联的自定义图标，勒索软件将在 Windows 注册表中创建自定义扩展名，并将该图标与 %Temp% 文件夹中随机命名的 ICO 文件相关联。这个自定义图标与icy.tools 应用程序使用的图标非常相似。

Windows 注册表编辑器版本 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta\DefaultIcon]
@="C:\\Windows\\TEMP\\fkdjsadasd.ico"

在加密设备上的每个文件夹中，勒索软件将创建一个 readme.txt 文件，其中包含有关攻击的信息以及登录其谈判聊天会话所需的链接和唯一 ID。

Black Basta Ransom Note
来源：ZZQIDC
Tor 协商站点的标题为“Chat Black Basta”，仅包括一个登录屏幕和一个可用于与威胁参与者协商的网络聊天。

威胁参与者使用此屏幕发出欢迎消息，其中包含赎金要求、如果 7 天内不付款将泄露数据的威胁，以及在支付赎金后提供安全报告的承诺。

Black Basta Tor 谈判网站
图片来源：ZZQIDC
不幸的是，Gillespie 说加密算法是安全的，没有办法免费恢复文件。

可能的品牌重塑

根据 Black Basta 聚集受害者的速度以及他们谈判的风格，这很可能是对经验丰富的行动的重塑。

安全研究员 MalwareHunterTeam 和作者之间讨论的一个理论是，Black Basta 可能是即将进行的 Conti 勒索软件操作的更名。

在乌克兰研究人员泄露私人对话宝库和勒索软件源代码后，Conti 在过去两个月中一直受到严格审查。

因此，据推测，孔蒂将重新命名他们的运营以逃避执法并以不同的名称重新开始。

虽然 Black Basta 加密器与 Conti 的加密器非常不同， 但 MalwareHunterTeam 认为它们的谈判风格和网站设计有许多相似之处。

此外，在谈判截图被泄露后，Black Basta 发布了一个全新受害者的数据。

这种“惩罚”与孔蒂为阻止谈判浪潮在推特上被泄露而引入的相同。

虽然这些联系很脆弱，但 Black Basta 团伙需要密切监视，因为他们才刚刚开始行动。