Black Basta: 2022 el año de ransomware multiplataforma

En el servicio de informes de crimeware de Kaspersky, analizaron las últimas tendencias relacionadas con el crimen que encontraron y Black Basta y Luna se destacan.

Si echamos un vistazo a lo que cubrimos el mes pasado, veremos que el ransomware (¡sorpresa, sorpresa!) definitivamente se destaca.

Proporcionamos varios extractos de los informes del mes pasado sobre nuevas cepas de ransomware.

Luna: nuevo ransomware escrito en Rust

El mes pasado, nuestro sistema de monitoreo activo Darknet Threat Intelligence nos notificó de un nuevo anuncio en un foro de ransomware de darknet.

Como se puede ver en el anuncio, el malware está escrito en Rust y se ejecuta en sistemas Windows, Linux y ESXi.

Armados con este conocimiento, buscamos muestras y encontramos algunas a través de Kaspersky Security Network (KSN).

Opciones de línea de comandos disponibles en Luna (Black Basta)
Opciones de línea de comandos disponibles en Luna (Black Basta)

Opciones de línea de comandos disponibles en Luna

A juzgar por las opciones de línea de comandos disponibles, Luna es bastante simple.

Sin embargo, el esquema de cifrado que utiliza no es tan típico, ya que involucra x25519 y AES, una combinación que no se encuentra a menudo en los esquemas de ransomware.

Tanto las muestras de Linux como las de ESXi se compilan utilizando el mismo código fuente con algunos cambios menores con respecto a la versión de Windows.

Por ejemplo, si los ejemplos de Linux se ejecutan sin argumentos de línea de comandos, no se ejecutarán. En su lugar, mostrarán los argumentos disponibles que se pueden usar.

El resto del código no tiene cambios significativos con respecto a la versión de Windows.

El anuncio indica que Luna solo trabaja con afiliados de habla rusa. Además, la nota de rescate codificada dentro del binario contiene errores de ortografía.

Por ejemplo, dice “a little team” en lugar de “a small team”. Debido a esto, asumimos con confianza media que los actores detrás de Luna son criminales de origen de ruso.

Dado que Luna es un grupo recién descubierto, todavía hay pocos datos sobre su victimología, pero en Kaspersky estamos siguiendo la actividad de Luna.

Luna confirma la tendencia del ransomware multiplataforma: las pandillas de ransomware actuales dependen en gran medida de lenguajes como Golang y Rust.

Un ejemplo notable incluye BlackCat y Hive.

Dado que los lenguajes son independientes de la plataforma, el ransomware escrito en estos se puede transferir fácilmente de una plataforma a otra.

Por lo tanto, los ataques pueden tener como objetivo diferentes sistemas operativos a la vez. Además de eso, los lenguajes multiplataforma ayudan a evadir el análisis estático.

Black Basta

Black Basta es una variante de ransomware relativamente nueva escrita en C++ que salió a la luz por primera vez en febrero de 2022.

El malware, la infraestructura y la campaña todavía estaban en modo de desarrollo en ese momento.

Por ejemplo, el blog de la víctima aún no estaba en línea, pero el sitio web de Black Basta ya estaba disponible para las víctimas.

Black Basta admite el argumento de línea de comando “-forcepath” que se usa para cifrar solo archivos en un directorio específico.

De lo contrario, se encripta todo el sistema, con la excepción de ciertos directorios críticos.

Dos meses después del primer encuentro, en abril, el ransomware se había vuelto más maduro. La nueva funcionalidad incluía iniciar el sistema en modo seguro antes del cifrado e imitar los servicios de Windows por razones de persistencia.

La funcionalidad de reinicio en modo seguro no es algo con lo que nos encontremos todos los días, aunque tiene sus ventajas.

Por ejemplo, algunas soluciones de punto final no se ejecutan en modo seguro, lo que significa que el ransomware no se detectará y los archivos en el sistema se pueden cifrar “fácilmente”.

Para iniciar en modo seguro, el ransomware ejecuta los siguientes comandos:

  • C:\Windows\SysNative\bcdedit /set safeboot networkChanges
  • C:\Windows\System32\bcdedit /set safeboot networkChanges

Las versiones anteriores de Black Basta contenían una nota de rescate diferente a la utilizada actualmente, que mostraba similitudes con la nota de rescate utilizada por Conti.

Esto no es tan extraño como puede parecer, porque Black Basta todavía estaba en modo de desarrollo en ese momento.

Comparación de notas de rescate

Comparación de notas de rescate

Para asegurarnos de que no hubo una superposición de código entre Conti y las versiones anteriores de Black Basta, alimentamos algunas muestras al Kaspersky Threat Attribution Engine (KTAE). De hecho, como se muestra a continuación, solo las cuerdas se superponen. Por lo tanto, no hay superposición en el código per se.

Superposición con el ransomware Conti con Black Basta
Superposición con el ransomware Conti con Black Basta

Black Basta para Linux

En otro informe que escribimos el mes pasado, discutimos la versión de Black Basta para Linux. Fue diseñado específicamente para apuntar a sistemas ESXi, pero también podría usarse para el cifrado general de sistemas Linux, aunque eso sería un poco engorroso.

Al igual que la versión para Windows, la versión de Linux solo admite un argumento de línea de comando: “-forcepath”. Cuando se utiliza, solo se cifra el directorio especificado.

Si no se proporcionan argumentos, la carpeta “/vmfs/volumes” está cifrada.

El esquema de encriptación de esta versión usa ChaCha20 y subprocesos múltiples para acelerar el proceso de encriptación con la ayuda de diferentes procesadores en el sistema. Dado que los entornos ESXi suelen utilizar varias CPU para ejecutar una granja de máquinas virtuales, el diseño del malware, incluido el algoritmo de cifrado elegido, permite al operador cifrar el entorno lo antes posible. Antes de cifrar un archivo, Black Basta usa el comando chmod para acceder a él en el mismo contexto que el nivel de usuario.

Objetivos negros de Basta

El análisis de las víctimas publicado por el grupo Black Basta reveló que, hasta la fecha, el grupo ha logrado atacar a más de cuarenta víctimas diferentes en el muy poco tiempo que tenía disponible. El blog de la víctima mostró que varios sectores comerciales se vieron afectados, incluidos la fabricación, la electrónica, los contratistas, etc. Según nuestra telemetría, pudimos ver otros impactos en Europa, Asia y los Estados Unidos.

Geografía del ataque Black Basta
Geografía del ataque Black Basta

Conclusión

El ransomware sigue siendo un gran problema para la sociedad actual. Tan pronto como algunas familias bajan del escenario, otras toman su lugar. Por esta razón, es importante estar al tanto de todos los desarrollos en el ecosistema de ransomware, para que uno pueda tomar las medidas adecuadas para proteger la infraestructura.

Una tendencia, que también discutimos en nuestra publicación de blog anterior , es que los sistemas ESXi son cada vez más específicos. El objetivo es causar el mayor daño posible. Luna y Black Basta no son una excepción.

Esperamos que las nuevas variantes también admitan el cifrado de máquinas virtuales de forma predeterminada.

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

Lea más

Obsolescencia programada, Ciberseguridad y parches 2022

Seguridad Cibernética: clave para la economía 2022

Informe Fortinet de Seguridad en la Nube 2022

SIM swapping: 3 claves para no ser víctima de los criminales

Conti: banda de ransomware que publicó datos de 850 empresas

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Aliquam erat sem, accumsan ac augue non, scelerisque viverra neque. Etiam pharetra quam sed cursus ornare.

Vivamus vel ligula nec sapien suscipit rhoncus eu sed ipsum. Duis feugiat aliquet orci, ut sagittis urna hendrerit at. Sed viverra, sapien vel eleifend feugiat, dui lectus vulputate risus, vel dignissim lectus lacus sit amet erat.

Vivamus rutrum, nulla vel sodales hendrerit, neque mi feugiat ante, sed ultrices ipsum mauris non urna. Maecenas id pharetra eros, ut imperdiet nisi. Morbi vitae nibh vel nisi rutrum vulputate eget venenatis est. Sed efficitur, nisl sed vehicula scelerisque, est nisi semper lacus, sed tristique augue dui ut turpis.

Quisque maximus, urna eget sagittis maximus, est quam lacinia leo, id iaculis elit mauris in metus. Suspendisse malesuada libero id ligula suscipit pharetra. Phasellus commodo ultrices mollis. Duis maximus mi sed leo laoreet, eu pulvinar risus sodales.

Donec a enim a libero gravida pulvinar. Ut in est finibus, egestas arcu vitae, vestibulum lacus.

Ut placerat faucibus orci, a dapibus diam sollicitudin vitae. Cras sagittis metus urna, nec sagittis orci tincidunt ut. In quis sapien non leo fermentum pretium. Nulla a ultrices arcu, vel vulputate dolor. Sed quis posuere dolor. Integer a eros lectus.

Praesent urna purus, fringilla sed metus id, sollicitudin tempus lacus. In eu dui eu enim congue ultrices quis eu risus. Suspendisse lorem nisl, convallis at eleifend eu, aliquet et felis. In ultricies erat sed dapibus vulputate. Donec malesuada neque lacus, ut consequat nibh mollis in.

Interdum et malesuada fames ac ante ipsum primis in faucibus. Donec in turpis ut justo vehicula accumsan vitae eu lacus. Morbi rhoncus, urna ac imperdiet sagittis, erat quam luctus neque, sit amet finibus diam nisi at lacus. Curabitur elementum lobortis porttitor.

Integer bibendum ligula velit, non maximus elit tincidunt at. Aliquam eu maximus nisi. Curabitur mollis rutrum tellus eget faucibus.

Praesent id elit odio. Aliquam tincidunt turpis vel turpis euismod, eu luctus odio tincidunt. Proin id dui feugiat, vulputate justo id, gravida elit. Suspendisse auctor mauris vel massa facilisis dapibus.

Sed scelerisque eu felis eu consequat. Sed ut eros dictum nulla viverra sollicitudin. Aliquam nec erat semper, venenatis nisl et, rutrum nibh. Mauris blandit lobortis mi, eu viverra velit scelerisque eu.

Mauris finibus convallis ultrices. Proin laoreet enim nulla, ut euismod lectus pellentesque id. Curabitur posuere lobortis est et imperdiet. In sodales iaculis odio, ac volutpat metus.

Etiam nunc diam, convallis ac aliquet ut, viverra ac quam. Curabitur pharetra faucibus risus ut commodo. Phasellus semper lectus in interdum hendrerit. Morbi eget semper justo. Phasellus a purus sem.

Aenean gravida elit vel enim semper consectetur. Ut tincidunt ut velit quis tristique. Suspendisse vel ex justo. Maecenas scelerisque dignissim dui non condimentum. Nullam et tempor lacus. Morbi elementum mi lorem, id consectetur lorem pretium ac.

Sed porta urna at sapien finibus mattis. Vestibulum vitae sapien mattis, imperdiet ante eu, volutpat sapien. Morbi et neque urna. Nullam eu nulla nisi.

Quisque rutrum cursus sapien, at aliquet lacus aliquet et. Etiam justo massa, pharetra a laoreet ac, ultrices eget leo. Phasellus vulputate metus eget venenatis congue.

Ut mollis condimentum ipsum eget elementum. Curabitur porta enim vel laoreet consectetur. Aliquam sollicitudin laoreet tellus, id tristique justo bibendum eget. Nulla ornare laoreet semper.

In consectetur consectetur nunc non luctus. Sed ultricies arcu ac est volutpat placerat. Nulla mi lacus, placerat vel lacus vitae, convallis egestas purus. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Vestibulum non lacus ut felis rutrum efficitur.

Praesent at libero vitae risus accumsan volutpat. Vestibulum eget diam maximus, dignissim velit sit amet, fermentum nisl. Suspendisse sed lacus leo.

Mauris viverra massa quis finibus ullamcorper. Integer id nibh feugiat, faucibus ligula sed, lacinia tortor. Nunc quam turpis, finibus quis finibus eget, pulvinar ut massa. Nullam at maximus ipsum. Fusce semper consequat quam at vehicula.

Praesent pretium urna a odio fermentum convallis. Mauris eget urna pellentesque, tincidunt urna sit amet, laoreet velit. Nulla consequat vehicula nisl, sed auctor nibh rutrum vel. Phasellus aliquet posuere lectus nec facilisis. Fusce pulvinar dui non augue auctor, ut hendrerit enim tincidunt.

Nunc quis sapien quis nulla molestie mollis. Donec eu vestibulum neque. Sed semper laoreet elit, ac dictum nisl. Praesent in quam nisi. Praesent quis quam ex. Integer nec condimentum dolor. Morbi molestie, quam sit amet bibendum iaculis, leo massa convallis elit, id vehicula lorem tellus eu sem.

Quisque id eros facilisis, luctus tortor egestas, tincidunt nibh. Phasellus sit amet facilisis dui. Curabitur aliquam consectetur sem. Donec massa leo, viverra in varius in, congue sit amet mauris. Nunc eget dui nisl. Maecenas ultrices sem vitae massa vestibulum, ac commodo lorem lacinia.

Donec dictum sem facilisis euismod finibus. Nulla nec congue sapien. Mauris in efficitur nisi. Integer lectus libero, posuere a orci sit amet, sodales consectetur elit. Fusce laoreet id lorem at finibus.

Nunc et ultricies sem, non finibus eros. Vivamus at dignissim turpis, at condimentum augue. Mauris enim turpis, hendrerit ac lacus in, vehicula facilisis dolor. Aenean venenatis leo non sem tempor condimentum.

Nunc eu sem porta, ultricies lacus consectetur, dignissim ante. Maecenas interdum ultricies nisl, eget finibus tellus luctus et. Curabitur posuere arcu sit amet orci tempus, et efficitur magna posuere. Integer posuere orci vitae dui convallis, et maximus lacus mollis.

In nec diam non nisl ullamcorper efficitur et et mauris. Aenean non commodo neque, at aliquet metus. Nulla lobortis interdum accumsan. Pellentesque venenatis, mauris eget hendrerit laoreet, arcu metus suscipit elit, vel blandit arcu ante sit amet turpis.

Fusce a gravida urna, commodo accumsan dui. Vivamus ac porta libero. Suspendisse eu dictum sapien. Pellentesque congue suscipit nisi vitae cursus. Ut faucibus risus ac efficitur convallis. Nunc ligula ipsum, pellentesque at volutpat sit amet, mattis at purus.

Nullam quam massa, condimentum at pharetra nec, tristique eget nunc. Nullam non lacus dignissim, faucibus arcu eu, tincidunt nisi. Donec volutpat nibh quis sem maximus, a scelerisque nibh porttitor. Sed sed arcu non arcu feugiat blandit ut sed velit. Proin non erat id tellus rutrum viverra. In at rhoncus nisl. Aenean est justo, mattis ac nunc a, iaculis.

 

Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, Black Basta, 

Nam gravida dui id ipsum porta consequat. Duis faucibus volutpat nibh, id pretium felis sodales ut. Etiam eget quam lacinia tellus molestie fringilla id quis nisi. Aliquam fringilla laoreet justo, vitae egestas metus. Ut egestas cursus est, eget commodo lectus consectetur id. Maecenas vitae porttitor eros, non iaculis est. Mauris id purus sit amet magna ullamcorper feugiat eu vel dui. Morbi eu mauris vulputate, aliquet odio et, vehicula leo. Nulla viverra est sed quam tristique consectetur.

Morbi quis diam commodo, ullamcorper urna feugiat, bibendum magna. Phasellus eget turpis dapibus, iaculis erat quis, pharetra lacus. Fusce vestibulum et orci vel cursus. In auctor lorem vel gravida rhoncus. Aliquam massa augue, ultricies sit amet urna in, ultrices rutrum libero. Pellentesque at mi ultricies eros ullamcorper feugiat. Cras rhoncus velit ex, sit amet placerat libero congue eget.

Interdum et malesuada fames ac ante ipsum primis in faucibus. Nullam venenatis tellus in ullamcorper laoreet. Mauris porta ut purus vel vestibulum. Nam at mi nunc. Ut hendrerit suscipit enim, sed congue purus ornare vel. Nulla facilisi. Sed dapibus turpis eget ex dignissim, a vestibulum odio molestie.

Donec blandit arcu non tincidunt viverra. Vivamus vel gravida leo. Proin eget odio convallis, convallis lorem at, feugiat ipsum. Donec erat risus, fermentum sit amet porttitor id, volutpat a risus.

Mauris aliquam quam et faucibus mattis. Aenean eleifend odio facilisis tempus viverra. Morbi quis ipsum porta, scelerisque metus at, efficitur lorem. Morbi faucibus tortor vel augue fringilla eleifend.

Nullam nec tellus suscipit, varius quam et, fringilla turpis. Proin iaculis orci in arcu porta, vel volutpat leo maximus. In hac habitasse platea dictumst. Cras orci libero, eleifend vel aliquet ut, volutpat condimentum ipsum. Sed hendrerit scelerisque consectetur.

Fusce mattis, magna id eleifend iaculis, dolor est semper nisi, ut efficitur lorem elit quis mauris. Nunc rhoncus tortor quis felis auctor laoreet. Duis sit amet erat a nunc dictum posuere quis tincidunt tortor. Donec eleifend odio vitae felis eleifend, et lobortis magna.

95 / 100