行業(yè)資訊

Black Basta 勒索病毒的跨平台攻擊分析

2022年(nián)10月(yuè)24日 

緊急程度：★★★★☆

影響平台：Windows，Linux

尊敬的用戶：

您好！

近日，亞信安全截獲了Black Basta勒索病毒家族，該家族勒索是一(yī)款2022年(nián)4 月(yuè)被首次發現的新型勒索病毒，其最初主要針對 Windows 系統進行攻擊，後續于 2022 年(nián) 6 月(yuè)增加了加密 VMware ESXi 虛拟機(jī)的版本。該家族會(huì)利用電(diàn)子郵件(jiàn)攜帶 QAKBOT 木(mù)馬、PrintNightmare 漏洞利用、第三方網站(zhàn)、系統漏洞、後門(mén)程序、破解軟件(jiàn)以及虛假安裝程序等多(duō)種方式傳播。其還(hái)采用了雙重勒索策略，不僅加密數據，還(hái)會(huì)竊取用戶的密碼和憑據。

Black Basta勒索軟件(jiàn)已經實現跨平台攻擊，其針對 Windows 系統和 ESXi 系統發起攻擊。 Windows 版本的勒索軟件(jiàn)主要功能(néng)是更換桌面壁紙(zhǐ)、加密文件(jiàn)和删除卷影副本；ESXi版本以文件(jiàn)夾 /vmfs/volumes 為(wèi)加密目标，程序支持命令行參數“-forcepath”，該參數隻用于加密指定目錄下(xià)的文件(jiàn)。該勒索軟件(jiàn)在加密過程中混合使用了 ChaCha20 和RSA算(suàn)法，使用 ChaCha20 算(suàn)法加密文件(jiàn)，通(tōng)過使用 Mini-GMP 庫實現了 RSA 算(suàn)法，然後使用 RSA 公鑰對ChaCha20 加密密鑰進行加密，并在加密文件(jiàn)尾部寫入被加密過的密鑰，在文件(jiàn)夾中留下(xià)勒索信息說明文件(jiàn)。

攻擊流程：

HASH

亞信安全檢測名