Manuel Statik Analiz — Black Basta Ransomware | Tehdit: KRITIK
Файл Kimliği
SHA256 65ca7ba84aab380fb0df33d8b4869132c6640bcec3f2a5d8e1b7c4f9a0e3b6d2
Имя файла black-basta_elex.exe
Размер 488.653 byte
String Sayisi 4.326
7-Zip DLL Kullanımı
C:\Program Files\7-Zip\7-zip.dll
-- 7-Zip kütüphanesi şifreleme/sıkıştırma işlemi için yüklenir
Şifreli C2 Config
2c2d2, 2c2b2e2e2 -- Şifreli C2 config fragmentleri
.files -- Şifreli dosya uzantısı göstergesi
Black Basta Hakkında
Black Basta, 2022'den beri aktif olan hızla yükselen RaaS ailesidir. Conti grubunun dağılmasından sonra ortaya çıkmıştır. Çifte gaspatma (veri hırsızlığı + şifreleme), QakBot ile dağıtım, Cobalt Strike kullanımı. 2024'te ABD CISA/FBI tarafından uyarı yayımlanmıştır. Sağlık sektörünü aktif olarak hedeflemektedir.
IOC
SHA256 65ca7ba84aab380fb0df33d8b4869132c6640bcec3f2a5d8e1b7c4f9a0e3b6d2
7-Zip C:\Program Files\7-Zip\7-zip.dll
BlackBasta — Профиль вредоносного ПО
Black Basta ransomware grubu loaer/dropper. Microsoft Office Setup Engine (ose.pdb) olarak gizlenir. Global\OfficeSourceEngine64Mutex sahte mutex. Self-modifying .ex_cod section. Minimal import + runtime GetProcAddress API cozme. WinHttp C2. Token manipulasyonu.
Тип вредоносного ПО
Ransomware
Язык программирования
C++
Целевые системы
Windows/Linux
Возможности и поведение
Dosya Şifreleme (AES/RSA)
Список IOC
(1 индикаторов)
# SHA256
65ca7ba84aab380fb0df33d8b4869132c6640bcec3f2a5d8e1b7c4f9a0e3b6d2
Тип Значение Примечание
sha256
65ca7ba84aab380fb0df33d8b4869132c6640bcec3f2a5d8e1b7c4f9a0e3b6d2
C2 Серверы
(1 зарегистрированных серверов для этого семейства)
Адрес
Тип
Порт
Протокол
Статус
Страна
aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion
domain
443
—
inactive
—
Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.