Black Basta勒索软件组打击75家组织

关键要点

• Palo Alto Networks的Unit 42团队报告显示，Black Basta勒索软件即服务（RaaS）集团近期已攻陷超过75个组织。
• 该集团采用“双重勒索”技术，除了加密文件外，还威胁发布敏感信息。
• 该勒索软件使用C++编写，影响Windows和Linux系统。
• 云服务的快速采用使得威胁行为者调整策略以获取敏感信息。

据Palo Alto Networks的Unit 42团队的研究人员报告，勒索软件服务（RaaS）集团BlackBasta近期已成功攻击超过75个组织。研究人员在中提到，该RaaS集团利用“双重勒索”技术，即除加密目标系统上的文件并索要赎金外，还维护一个暗网泄露网站，若企业不支付赎金，他们会威胁发布敏感信息。

研究人员表示，该使用C++编写，适用于Windows和Linux系统。其通过ChaCha20和RSA-4096加密用户数据。为加快加密速度，该勒索软件以64字节为单位进行加密，同时保持128字节的数据未被加密。研究人员解释说，勒索软件加密速度越快，越有可能在防御措施启动之前攻陷更多系统，这是网络犯罪分子在与RaaS团队合作时所关注的主要因素。

Valtix的首席安全研究员DavisMcCarthy表示，云计算的快速普及迫使受财务驱动的威胁行为者改变战术。McCarthy指出，由于敏感数据被存储在云中，RaaS运营者通常会将所有本地数据转移出去，或尝试获得对云帐户的访问，以提高他们成功获利的机会。“密码重用和对云基础设施缺乏可视化使得像BlackBasta这样的双重勒索活动变得容易，”McCarthy说。

Viakoo的首席执行官Bud Broomhead表示，这是威胁行为者利用其恶意活动形成商业模式的又一个例子。他提到，可以将BlackBasta视作一种混合云实现——该勒索软件被安装后在受害者的站点上形成一个私有云，随后与公有云连接，以支持勒索过程的“商业”方面（公众羞辱和网络犯罪市场）。

“换句话说，这在勒索软件的‘商业’方面是SaaS，而在受害者端则是私有云，”Broomhead说。“在这种情况下，单纯称之为勒索软件并不足以涵盖其范围——考虑到广泛的权限提升、帐户创建和数据外泄，已远远超出‘付钱解锁数据’的范畴；一旦业务受到影响，其程度远比简单的勒索软件要严重得多。”