Black Basta is een van de meest succesvolle ransomware gangs
Sinds einde maart zagen we opeens een relatief nieuwe ransomware groepering die snel slachtoffers maakte. En niet zomaar slachtoffers, maar ook diverse grote bedrijven. Door de snelheid waarmee ze werkten wekte dit wel enige verbazing. De leden achter deze groepering staan zeker niet voor het eerst op het toneel en kennen het klappen van de zweep. Maar hoe maken ze dan zo snel zo veel slachtoffers? Security expert Erik Westhovens licht dit nader toe in deze blog.
BlackBasta maakt gebruik van wat we tegenwoordig Qbot of Qakbot noemen. Het massaal versturen van emails met attachements waarbij de gebruiker eerst enable editing moet klikken om het document te openen en daarmee halen ze naast een stukje RTF code ook de malware binnen.
Deze malware (Wacatac, Presenoker en nog wat van die namen) infecteert het device en voert verborgen in normale windows processen zijn destructieve werk uit. Denk aan Reconnaissance, data en credential collection en lateral movement.
Ze halen veel informatie over de omgeving en het domein waartoe het device behoort en infecteren servers met de malware en Command shells.
Zodra ze binnen zijn gaan ze snel op zoek naar de domein controllers waarbij ze lateral movement doen via PSexec en als ze op de domein controller binnen zijn creeeren ze een GPo die Defender en andere antivirus uitschakeld.
Wat vooral opvalt is de snelheid waarmee ze te werk gaan en de desctructiviteit. Zeker bij Vmware omgevingen gaan ze snel op zoek naar de ESXi servers en leggen deze geheel plat waarna ze de VM's encrypten.
Gezien de destructieve taken die ze uitvoeren en het vernietigen van de backups blijft voor veel bedrijven niet veel andere keuze over dan betalen waarmee ze deze misdaad in stand houden.
Bedrijven die op Intune zitten kunnen veel ellende makkelijk voorkomen door Windows Defender binnen Intune in te schakelen en een configuration profile MDMoverGPO aan te maken waardoor de gehanteerde techniek niet werkt omdat MDM defender keihard enabled. Aangevuld met Antitamper maken ze veel minder kans om daadwerkelijk de omgeving geheel te infecteren.
Door: Erik Westhovens
