行(xíng)業資訊

Black Basta 勒索病毒的跨平台攻擊分析

2022年10月24日 

緊急程度：★★★★☆

影(yǐng)響平台：Windows，Linux

尊敬的用戶：

您好！

近日，亞信安全截獲了Black Basta勒索病毒家(jiā)族，該家(jiā)族勒索是一款2022年4 月被首次發現的新型勒索病毒，其最初主要針對 Windows 系統進行(xíng)攻擊，後續于 2022 年 6 月增加了加密 VMware ESXi 虛拟機的版本。該家(jiā)族會(huì)利用電(diàn)子郵件攜帶 QAKBOT 木馬、PrintNightmare 漏洞利用、第三方網站(zhàn)、系統漏洞、後門(mén)程序、破解軟件以及虛假安裝程序等多(duō)種方式傳播。其還(hái)采用了雙重勒索策略，不僅加密數(shù)據，還(hái)會(huì)竊取用戶的密碼和(hé)憑據。

Black Basta勒索軟件已經實現跨平台攻擊，其針對 Windows 系統和(hé) ESXi 系統發起攻擊。 Windows 版本的勒索軟件主要功能是更換桌面壁紙、加密文件和(hé)删除卷影(yǐng)副本；ESXi版本以文件夾 /vmfs/volumes 為(wèi)加密目标，程序支持命令行(xíng)參數(shù)“-forcepath”，該參數(shù)隻用于加密指定目錄下的文件。該勒索軟件在加密過程中混合使用了 ChaCha20 和(hé)RSA算(suàn)法，使用 ChaCha20 算(suàn)法加密文件，通(tōng)過使用 Mini-GMP 庫實現了 RSA 算(suàn)法，然後使用 RSA 公鑰對ChaCha20 加密密鑰進行(xíng)加密，并在加密文件尾部寫入被加密過的密鑰，在文件夾中留下勒索信息說明(míng)文件。

攻擊流程：

HASH

亞信安全檢測名