랜섬웨어 변종 Black Basta - ESET Update 파일로 위장

닉맨 2023.06.21 08:54:25

2022년에 최초 확인된 Black Basta 랜섬웨어가 최근 까지도 다양한 변종들이 생겨나며 기업을 공격하고 있습니다

 

최근 변종 Black Basta 랜섬웨어는 Windows 운영 체제는 물론 Linux 기반의 VMware ESXi 가상 머신을 공격 하기도 합니다

 

메일에 포함된 링크를 통해 다운로드된 파일을 실행할 경우 Qakbot 악성코드 감염을 통해 MimiKatz, RDP, PsExec 등의 방식으로 권한을 획득하여 침투를 시도 하며, Rclone 도구를 사용하여 기업 내부 데이터를 외부로 유출하 후에 파일 암호화를 진행 합니다

 

2023년 2월에 VirusTotal 온라인 검사 서비스를 통해 확인된 변종 BlackBasta 랜섬웨어는 ESET Update 파일 아이콘 모양을 하고 있습니다

 

Backupware_백업프로그램1.gif

 

변종 Black Basta는 파일 암호화를 진행 할때 시스템 복원 기능을 무력화 시키는 명령을 수행 합니다

 

파일 확장자 변경은 .basta 또는 <영문 소문자+숫자로 된 9자리의 Random 확장명> 형태로 변경 되며

 

암호화된 파일은 특정 폴더에 저장된 fkdjsadasd.ico 파일 아이콘으로 변경 되는 특장이 있습니다

 

백업프로그램_백업웨어1.gif

 

변종 Black Basta 랜섬웨어는 파일을 64 Byte 단위로 부분 암호화 하는 방식으로 파일 암호화 속도가 다른 랜섬웨어에 비해 느린 특징이 있습니다

 

파일 암호화가 완료 되면 instruction_read_me.txt 또는 readme.txt 안내 파일을 생성 합니다

 

백업프로그램_백업웨어2.gif

 

안내 파일 안에 기재된 사이트에 접속하면 해커와 채팅 할수 있는 채팅방에 접속할 수 있습니다

 

백업프로그램_백업웨어3.gif