Manuel Statik Analiz — Black Basta Ransomware | Tehdit: KRITIK

파일 Kimliği

SHA25665ca7ba84aab380fb0df33d8b4869132c6640bcec3f2a5d8e1b7c4f9a0e3b6d2
파일 이름black-basta_elex.exe
크기488.653 byte
String Sayisi4.326

7-Zip DLL Kullanımı

C:\Program Files\7-Zip\7-zip.dll
-- 7-Zip kütüphanesi şifreleme/sıkıştırma işlemi için yüklenir

Şifreli C2 Config

2c2d2, 2c2b2e2e2  -- Şifreli C2 config fragmentleri
.files            -- Şifreli dosya uzantısı göstergesi

Black Basta Hakkında

Black Basta, 2022'den beri aktif olan hızla yükselen RaaS ailesidir. Conti grubunun dağılmasından sonra ortaya çıkmıştır. Çifte gaspatma (veri hırsızlığı + şifreleme), QakBot ile dağıtım, Cobalt Strike kullanımı. 2024'te ABD CISA/FBI tarafından uyarı yayımlanmıştır. Sağlık sektörünü aktif olarak hedeflemektedir.

IOC

SHA25665ca7ba84aab380fb0df33d8b4869132c6640bcec3f2a5d8e1b7c4f9a0e3b6d2
7-ZipC:\Program Files\7-Zip\7-zip.dll

BlackBasta — 악성코드 프로필

Black Basta ransomware grubu loaer/dropper. Microsoft Office Setup Engine (ose.pdb) olarak gizlenir. Global\OfficeSourceEngine64Mutex sahte mutex. Self-modifying .ex_cod section. Minimal import + runtime GetProcAddress API cozme. WinHttp C2. Token manipulasyonu.

악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
대상 시스템
Windows/Linux

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (1 개 지표)

IOC — BlackBasta
# SHA256 65ca7ba84aab380fb0df33d8b4869132c6640bcec3f2a5d8e1b7c4f9a0e3b6d2
유형메모
sha256 65ca7ba84aab380fb0df33d8b4869132c6640bcec3f2a5d8e1b7c4f9a0e3b6d2

C2 서버 (이 패밀리에 대해 1개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion domain 443 — inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
black-bastaransomware7zipfiles-extensiondouble-extortion