Black Basta 勒索病毒的跨平臺(tái)攻擊分析

2022年10月24日 

緊急程度：★★★★☆

影響平臺(tái)：Windows，Linux

尊敬的用戶：

您好！

近日，亞信安全截獲了Black Basta勒索病毒家族，該家族勒索是一款2022年4 月被首次發(fā)現(xiàn)的新型勒索病毒，其最初主要針對(duì) Windows 系統(tǒng)進(jìn)行攻擊，后續(xù)于 2022 年 6 月增加了加密 VMware ESXi 虛擬機(jī)的版本。該家族會(huì)利用電子郵件攜帶 QAKBOT 木馬、PrintNightmare 漏洞利用、第三方網(wǎng)站、系統(tǒng)漏洞、后門程序、破解軟件以及虛假安裝程序等多種方式傳播。其還采用了雙重勒索策略，不僅加密數(shù)據(jù)，還會(huì)竊取用戶的密碼和憑據(jù)。

Black Basta勒索軟件已經(jīng)實(shí)現(xiàn)跨平臺(tái)攻擊，其針對(duì) Windows 系統(tǒng)和 ESXi 系統(tǒng)發(fā)起攻擊。 Windows 版本的勒索軟件主要功能是更換桌面壁紙、加密文件和刪除卷影副本；ESXi版本以文件夾 /vmfs/volumes 為加密目標(biāo)，程序支持命令行參數(shù)“-forcepath”，該參數(shù)只用于加密指定目錄下的文件。該勒索軟件在加密過程中混合使用了 ChaCha20 和RSA算法，使用 ChaCha20 算法加密文件，通過使用 Mini-GMP 庫實(shí)現(xiàn)了 RSA 算法，然后使用 RSA 公鑰對(duì)ChaCha20 加密密鑰進(jìn)行加密，并在加密文件尾部寫入被加密過的密鑰，在文件夾中留下勒索信息說明文件。

攻擊流程：

HASH

亞信安全檢測(cè)名