Black Basta جدیدترین باجافزاری است که مجهز به قابلیت رمزگذاری ماشینهای مجازی مبتنی بر VMware ESXi شده است.
برخی منابع Black Basta را که کمتر از دو ماه از ظهور آن میگذرد زیرمجموعهای از باجافزار معروف Conti میدانند. در همین مدت کوتاه گردانندگان Black Basta موفق به سرقت و رمزگذاری اطلاعات دهها شرکت در کشورهای مختلف شدهاند.
اکنون، نسخهای تحت Linux از این باجافزار در حال انتشار است که اقدام به رمزنگاری محتوای پوشه vmfs/volumes/ میکند. این مسیر، جایی است که ماشینهای مجازی بر روی سرورهای ESXi در آن ذخیره میشوند. به عبارت دیگر در صورت فراهم بودن دسترسی مهاجمان به این مسیر، تمامی ماشینهای مجازی، صرفنظر از سازوکارهای حفاظتی هر یک از آنها، از دسترس سازمان خارج خواهند شد.
باجافزار BlackBasta از الگوریتم رمزگذاری ChaCha20 که به سرعت بالا مشهور است بهره میگیرد. بهمحض رمزنگاری، باجافزار، پسوند basta را به انتهای هر فایل رمزشده الصاق میکند. همچنین فایلی با نام readme.txt نیز در vmfs/volumes/ ایجاد میشود. فایل مذکور حاوی متنی مشابه با متن زیر است:
Your data are stolen and encrypted
The data will be published on TOR website if you do not pay the ransom
You can contact us and decrypt one file for free on this TOR site (you should download and install TOR browser first https://torproject.org)
{Black Basta TOR URL}
Your company id for log in: ###
تصویر زیر نیز صفحه ورود به سامانه گفتگوی آنلاین باجافزار Black Basta را نشان میدهد.
Black Basta اولین باجافزاری نیست که توانایی رمزنگاری ماشینهای مجازی را دارد. LockBit و Hive از دیگر باجافزارهای با چنین قابلیتی هستند.
استفاده از نسخ آسیبپذیر ESXi، بکارگیری گذرواژه غیرپیچیده و به طور کلی اصالتسنجی ضعیف، این هایپروایزر را در معرض تهدیداتی همچون باجافزار Black Basta قرار میدهد. مطالعه این راهنمای VMware به تمامی راهبران VMWare ESXi توصیه میشود.
