行業資訊

Black Basta 勒索病毒的跨平台攻擊分(fēn)析

2022年10月24日 

緊急程度：★★★★☆

影響平台：Windows，Linux

尊敬的用(yòng)戶：

您好！

近日，亞信安(ān)全截獲了Black Basta勒索病毒家族，該家族勒索是一款2022年4 月被首次發現的新(xīn)型勒索病毒，其最初主要針對 Windows 系統進行攻擊，後續于 2022 年 6 月增加了加密 VMware ESXi 虛拟機的版本。該家族會利用(yòng)電(diàn)子郵件攜帶 QAKBOT 木(mù)馬、PrintNightmare 漏洞利用(yòng)、第三方網站、系統漏洞、後門程序、破解軟件以及虛假安(ān)裝(zhuāng)程序等多(duō)種方式傳播。其還采用(yòng)了雙重勒索策略，不僅加密數據，還會竊取用(yòng)戶的密碼和憑據。

Black Basta勒索軟件已經實現跨平台攻擊，其針對 Windows 系統和 ESXi 系統發起攻擊。 Windows 版本的勒索軟件主要功能(néng)是更換桌面壁紙、加密文(wén)件和删除卷影副本；ESXi版本以文(wén)件夾 /vmfs/volumes 為(wèi)加密目标，程序支持命令行參數“-forcepath”，該參數隻用(yòng)于加密指定目錄下的文(wén)件。該勒索軟件在加密過程中(zhōng)混合使用(yòng)了 ChaCha20 和RSA算法，使用(yòng) ChaCha20 算法加密文(wén)件，通過使用(yòng) Mini-GMP 庫實現了 RSA 算法，然後使用(yòng) RSA 公(gōng)鑰對ChaCha20 加密密鑰進行加密，并在加密文(wén)件尾部寫入被加密過的密鑰，在文(wén)件夾中(zhōng)留下勒索信息說明文(wén)件。

攻擊流程：

HASH

亞信安(ān)全檢測名(míng)