黑色巴斯塔

Black Basta（又名 BlackBasta）是一家勒索软件运营商和勒索软件即服务（RaaS）犯罪企业，于 2022 年初首次出现，并立即成为全球最活跃的 RaaS 威胁行为体之一，在其运营的头几个月中就积累了 19 家知名企业受害者和 100 多名确认受害者。Black Basta 以美国、日本、加拿大、英国、澳大利亚和新西兰的组织为攻击目标，攻击针对性极强，而不是采用喷洒式攻击。该组织的赎金策略采用双重勒索手段，一方面加密受害者的关键数据和重要服务器，另一方面威胁要在该组织的公开泄密网站上公布敏感数据。

Black Basta 的核心成员被认为是由已解散的Conti威胁行为者组织衍生而来，因为他们在恶意软件开发、泄漏网站以及用于谈判、付款和数据恢复的通信方式上有相似之处。Black Basta 还与FIN7（又名 Carbanak）威胁行为者有联系，因为他们的定制端点检测和响应 (EDR)规避模块非常相似，而且在指挥和控制 (C2) 操作中使用的 IP 地址也有重叠。

在早期活动中，Black Basta 的攻击始于针对性极强的鱼叉式网络钓鱼活动，以获取初始访问权限。2022 年 4 月，该组织开始宣传其购买企业网络访问权限的意图，并与附属初始访问经纪人 (IAB) 分享利润。获得初始访问权限后，Black Basta 会部署一系列第二阶段策略，以获取 Windows 域凭证并横向渗透目标网络，窃取敏感数据并部署勒索软件。 

为实现第二阶段目标，Black Basta 使用了多种策略，包括使用QakBot窃取器（又名 QBot 或 Pinkslipbot）、MimiKatz 和利用本机 Windows Management Instrumentation (WMI) API 获取凭证，然后使用 Powershell 和 PsExec 命令使用提取的凭证访问邻近的网络端点。Black Basta 还可以利用ZeroLogon、NoPac 和 PrintNightmare 漏洞进行本地和 Windows 活动域权限升级。为了对受感染系统进行 C2 远程控制，Black Basta 安装了 Cobalt Strike Beacons，使用 SystemBC 进行 C2 代理，并使用 Rclone 工具进行数据渗透。

Black Basta 攻击的加密阶段从禁用防病毒产品、通过 PowerShell 远程执行加密有效载荷和使用 vssadmin.exe 程序删除系统阴影副本开始。随后，Black Basta 会执行一个自定义的勒索软件有效载荷，该有效载荷自首次被发现以来至少经历了一次重大版本变更。Black Basta 的第一版加密模块与 Conti 勒索软件类似。相比之下，改进后的第二个版本使用了大量混淆和随机文件名来躲避 EDR 产品，并用 Crypto++ 加密库取代了 GNU 多精度算术库 (GMP) 算法的使用。Black Basta 2.0 加密模块使用 XChaCha20 算法进行对称加密，使用独特的椭圆曲线加密法（ECC）密钥对进行加密，并将对称密钥与 ECC 公钥一起添加到加密文件数据中进行解密。

Black Basta 还在攻击中使用了其他独特的技术，如禁用被入侵系统的 DNS 服务，使其无法访问互联网，从而使恢复过程复杂化，还部署了针对基于 Linux 的 VMware ESXi 虚拟机（VM）的勒索软件变种。 

防止 Black Basta 攻击取决于实施全面的企业网络安全计划，其中包括防止攻击者获得初始访问权限的防御策略、实施先进的端点安全产品以及维护有效的备份策略，以便从成功的勒索软件攻击中快速恢复。

防范黑巴斯塔攻击的战术包括

• 考虑开展用户意识培训，让员工了解网络钓鱼技术，并制定处理可疑电子邮件和文件的标准操作程序 (SOP)。
• 审查与 Black Basta 的已知 TTP 有关的网络安全控制，并准备检测已知的 Black Basta IoC 和文件签名
• 安装和配置可监控端点可疑活动的高级端点安全产品
• 实施现代身份和访问管理工具
• 实施可靠的备份策略，提供保护完好的离线备份，并实践灾难恢复程序，以确保实现平均恢复时间 (MTTR) 目标