A cadeia analisada combinou entrega disfarçada, técnicas anti-debug, carga de ransomware protegida em memória, criptografia parcial de arquivos e propagação interna por Active Directory, LDAP, compartilhamento administrativo e WMI.
| Componente | Dropper e carga de ransomware Black Basta em ambiente Windows, com preparação para criptografia local e distribuição interna. |
| Vetor | Entrega por dropper que imita um aplicativo de criação de unidades USB inicializáveis, assinado com certificado emitido para Akeo Consulting; a cadeia também foi observada com módulos como QakBot e Cobalt Strike antes da execução do ransomware. |
| Impacto | Criptografia de arquivos com extensão .basta, exclusão tentada de cópias de sombra, criação de nota de resgate no Desktop e tentativa de propagação para estáções enumeradas no Active Directory. |
| Prioridade | Detectar o dropper antes da execução da carga, revisar eventos de evasão, bloqueios de cópias para compartilhamentos administrativos, criação remota de processos por WMI e alteração em massa de arquivos. |
| Artefatos | Mutex de execução única, papel de parede modificado, ícone associado a arquivos .basta, readme.txt no Desktop, extensão .basta, uso de TEMP para imagens e caminho remoto \\c$\\Windows\\tmp.exe. |
| Criptografia | Uso de ChaCha20 com chave aleatória por arquivo e encapsulamento da chave por RSA com chave pública embutida; o material criptográfico é anexado ao fim do arquivo, com tamanho de 0x200 bytes informado ao final. |
A atividade analisada mostra uma etapa de entrega do Black Basta desenhada para reduzir a chance de análise automatizada antes que a carga principal seja iniciada. O dropper se apresenta como um aplicativo associado à criação de unidades USB inicializáveis e carrega assinatura digital emitida por Akeo Consulting, o mesmo emissor citado para executáveis legítimos do ecossistema Rufus. Esse detalhe não transforma o arquivo em confiável: ele altera a superfície de verificação, porque controles que atribuem peso excessivo à assinatura podem tratar o binário como menos suspeito do que um executável não assinado. A entrega não foi descrita como um instalador simples; o material mostra que a preparação anterior à execução do ransomware inclui uma sequência de verificações anti-debug, tentativas de detecção de emulação e manipulação da carga em memória para dificultar scanners automáticos.
O Black Basta já aparecia, desde maio de 2022, associado a mais de 89 casos de extorsão contra organizações de alto perfil, com concentração geográfica reportada em Estados Unidos e Alemanha. Entre as vítimas listadas no site de exposição do grupo, 49% eram contas dos Estados Unidos, e demandas de resgate em alguns casos ultrapassaram 1 milhão de dólares. Esses números contextualizam a operação, mas a parte tecnicamente mais importante para defesa está no fluxo de execução: a cadeia pode envolver entregas anteriores com QakBot e cargas de Cobalt Strike, avançando até um dropper que só libera o ransomware quando não identifica sinais de depuração, sandbox ou emulação. Em seguida, o malware executa rotinas locais de preparação, criptografia parcial de arquivos e tentativa de movimentação para outras máquinas via Active Directory, LDAP, compartilhamento administrativo e WMI.
O comportamento observado sustenta uma leitura operacional clara: a etapa de entrega é tão crítica quanto a rotina de criptografia. A defesa que espera apenas a criação de notas de resgate, a extensão .basta ou a alteração massiva de arquivos chega tarde no ciclo do incidente. A telemetria mais útil aparece antes, em assinaturas digitais inesperadas para o contexto do host, carregamento de bibliotecas incomuns, chamadas de API associadas a anti-debug, sequências anômalas de temporização, criação de artefatos em TEMP e tentativas de mapear estáções do domínio. A detecção também precisa tratar como suspeitas as falhas silenciosas, porque o dropper encerra a execução quando acredita estar sob análise; em ambientes de sandbox, a ausência de carga final não deve ser interpretada automaticamente como ausência de risco.
O fluxo começa com um dropper que imita software legítimo e tenta chegar à estáção escolhida antes da execução do ransomware. O material não limita a entrega a um único método, mas descreve que módulos em cadeia podem anteceder a carga final; foram observadas combinações com QakBot e Cobalt Strike antes da execução do Black Basta. Essa arquitetura é compatível com uma operação em que acesso inicial, persistência, reconhecimento ou preparação podem ocorrer fora do binário de ransomware, enquanto o dropper final fica responsável por validar o ambiente e liberar a carga somente quando a máquina parece adequada para ataque real. Para defesa, isso significa que o binário de criptografia pode ser apenas o último artefato visível de uma intrusão já em andamento.
Antes de executar a carga, o dropper aplica grupos de técnicas anti-debug e anti-emulação. O conjunto inclui verificações em estruturas internas do processo, uso de registradores de CPU para inferir depuração, instruções de CPU chamadas diretamente ou por wrappers, diferenças de temporização entre execução normal e execução instrumentada, chamadas de API do Windows voltadas à identificação de depuradores e testes com bibliotecas incomuns para diferenciar um sistema típico de uma sandbox. Também há uma técnica que aumenta ruído em análise de logs por meio de chamadas repetidas e aleatórias à função kernel32.beep. Algumas verificações foram descritas como falhas por erro de codificação, mas a presença delas ainda é relevante, porque revela intenção de atrasar engenharia reversa e reduzir a cobertura de emuladores.
Quando alguma verificação indica depurador ou ambiente emulado, o dropper interrompe a execução e não inicia o Black Basta. Quando a etapa de evasão é superada, a carga do ransomware não aparece simplesmente como um PE desempacotado e executado de modo direto. Há dados posicionados antes do cabeçalho PE da carga, estratégia que atrapalha identificadores automáticos que dependem de padrões esperados em memória. O efeito observado é que uma varredura automática de imagem em depurador não revela facilmente o módulo PE do Black Basta no espaço de memória do processo do dropper. Esse desenho prejudica tanto a análise dinâmica quanto a extração rápida de artefatos, e aumenta a importância de capturar memória, árvore de processos e eventos de carregamento em diferentes pontos da execução.
Após a carga principal iniciar, o ransomware cria um mutex para impedir múltiplas instâncias ativas. Em seguida, altera elementos visuais do sistema, definindo papel de parede e associando ícone customizado a arquivos com extensão .basta; as imagens usadas são desempacotadas no diretório TEMP. O malware também tenta apagar cópias de sombra, o que reduz opções locais de recuperação quando a ação é bem-sucedida. A criptografia ocorre em múltiplas threads e percorre arquivos encontrados nas unidades, com exceções baseadas em strings presentes nos caminhos. A cifra simétrica indicada é ChaCha20, com chave aleatória por arquivo; essa chave é então criptografada por RSA usando uma chave pública embutida, gerando 512 bytes anexados ao fim do arquivo criptografado. No final também é armazenado o comprimento da chave criptografada, 0x200. O conteúdo do arquivo não é criptografado integralmente: a rotina mira cada terceiro bloco de 64 bytes, o que reduz tempo de processamento e ainda torna os arquivos inutilizáveis para a vítima.
Depois da criptografia, o Black Basta cria uma nota de resgate em readme.txt no Desktop. A nota contém um identificador de empresa embutido, sinal de que a execução foi preparada para uma vítima específica e não apenas distribuída de forma indiscriminada. O material também descreve capacidade de distribuição automática quando os mecanismos do dropper não são suficientes: o ransomware tenta conectar-se ao Active Directory por APIs LDAP, enumera estáções com o filtro samAccountType=805306369, copia a si mesmo para máquinas remotas por compartilhamento administrativo no caminho \\c$\\Windows\\tmp.exe e inicia o executável por objetos COM relacionados a WMI, incluindo IWbemServices e Win32_Process com método de criação de processo.
A superfície primária é composta por estáções Windows que recebem o dropper e conseguem executar a cadeia até a carga do Black Basta. A presença de assinatura digital no binário falso amplia o risco em ambientes que usam reputação de assinatura como critério de confiança sem correlacionar origem, caminho, prevalência, hash local, telemetria de execução e relação com o usuário. Hosts que permitem execução de binários recém-chegados, que não aplicam controles rigorosos sobre diretórios temporários e que têm baixa visibilidade de chamadas de API sensíveis ficam mais expostos à fase de evasão. O uso de TEMP para imagens e a criação de artefatos visuais não são apenas efeitos cosméticos; eles ajudam a ligar a execução do ransomware a alterações persistentes no perfil do usuário e no sistema de arquivos.
A superfície secundária envolve domínios Active Directory com estáções enumeráveis por LDAP e com compartilhamentos administrativos acessíveis. A propagação descrita depende da capacidade de copiar o executável para C$ em máquinas remotas e de iniciar processos via WMI. Isso torna credenciais com privilégios administrativos, sessões privilegiadas expostas, regras permissivas de firewall interno e monitoramento fraco de WMI fatores diretamente relevantes para o impacto. O material não afirma quais credenciais foram usadas nem descreve uma técnica específica de roubo de credenciais nessa etapa; portanto, a análise defensiva deve se concentrar nas precondições observáveis: enumeração LDAP, escrita em compartilhamento administrativo, execução remota e criação de processos incomuns em estáções conectadas ao domínio.
- Estáções Windows que executam o dropper disfarçado e passam pelas verificações anti-debug e anti-emulação.
- Ambientes que tratam assinatura digital como sinal suficiente de confiança, sem validar prevalência e contexto de execução.
- Diretórios TEMP usados para desempacotar imagens associadas ao ransomware e alteração visual do sistema.
- Domínios Active Directory em que estáções podem ser enumeradas por LDAP com filtro
samAccountType=805306369. - Máquinas remotas acessíveis por compartilhamento administrativo
C$e por criação de processo via WMI. - Arquivos em unidades locais e acessíveis ao processo, exceto caminhos que contenham strings excluídas pela rotina do malware.
A busca deve começar antes da extensão .basta. Em endpoint, vale correlacionar executáveis assinados por emissores esperados em ferramentas legítimas, mas executados a partir de caminhos, usuários ou horários incompatíveis com o inventário. A imitação de um utilitário de criação de USB inicializável deve acionar revisão quando aparecer em servidores, estáções sem necessidade desse tipo de ferramenta ou diretórios de download e temporários. A cadeia também justifica procurar eventos de QakBot e Cobalt Strike no período anterior, sem assumir automaticamente que todo host com esses artefatos executou o ransomware. A relação temporal é importante: carregamento do dropper, sinais de evasão, criação de mutex, alteração de papel de parede, escrita em TEMP, tentativa de apagar cópias de sombra e renomeação ou modificação massiva de arquivos formam um conjunto mais forte do que qualquer sinal isolado.
Em telemetria de sistema, chamadas de API usadas para detectar depuração, anomalias de temporização e carregamento de bibliotecas incomuns podem ser difíceis de observar em logs padrão, mas aparecem em EDRs com instrumentação comportamental. A repetição aleatória de chamadas a kernel32.beep é um indicador de ruído intencional em análise, especialmente quando combinada a outras verificações anti-debug. Em memória, a defesa deve considerar que a carga PE pode não ser localizada por métodos automáticos simples, porque dados extras antes do cabeçalho prejudicam a identificação. Em rede interna e identidade, os sinais mais importantes são consultas LDAP para enumeração de workstations, acesso a C$, criação remota de arquivos com nome tmp.exe no diretório Windows e acionamento de Win32_Process por WMI a partir de hosts que não deveriam administrar outras estáções.
Na camada de arquivos, a criação de readme.txt no Desktop, a associação de ícone para .basta, a alteração de papel de parede e a presença de chaves criptografadas anexadas ao fim dos arquivos são sinais de estágio avançado. A criptografia parcial, mirando cada terceiro bloco de 64 bytes, pode reduzir o volume de escrita em comparação com ransomware que reescreve o arquivo inteiro; por isso, detecções baseadas apenas em taxa extrema de escrita podem falhar ou acionar tarde. A análise deve observar padrões de múltiplas threads, modificações distribuídas por várias unidades, extensão .basta e tentativas de remoção de cópias de sombra. Quando a execução é interrompida por evasão em sandbox, o encerramento silencioso também deve ser preservado como evidência e comparado com execução em ambiente controlado diferente.
- Executável disfarçado de ferramenta de USB inicializável, assinado, mas executado fora do padrão esperado do ambiente.
- Eventos de cadeia anterior envolvendo QakBot ou Cobalt Strike antes da chegada do ransomware.
- Chamadas ou comportamentos compatíveis com anti-debug, anti-emulação, verificações de temporização e carregamento de bibliotecas incomuns.
- Uso de TEMP para imagens, criação de mutex, alteração de papel de parede e associação de ícone a arquivos
.basta. - Tentativa de exclusão de cópias de sombra e modificação de arquivos em múltiplas threads.
- Consultas LDAP com filtro
samAccountType=805306369para enumerar estáções do domínio. - Cópia para
\\c$\\Windows\\tmp.exee criação remota de processo via WMI comWin32_Process.
A mitigação deve priorizar a interrupção da cadeia antes da criptografia. Controles de aplicação devem validar assinatura digital junto com reputação, caminho, origem, prevalência e necessidade de negócio, em vez de liberar binários apenas por estarem assinados. Ferramentas de criação de USB inicializável raramente são necessárias em muitos servidores e estáções corporativas; quando não fazem parte do inventário aprovado, sua execução deve exigir justificativa e controle explícito. Também é importante bloquear ou alertar sobre execução a partir de diretórios temporários e de download quando o binário tenta carregar recursos, fazer verificações anti-debug, modificar configurações visuais do sistema ou iniciar varredura de arquivos.
Para conter propagação, o caminho administrativo é tão relevante quanto o binário. A organização deve restringir acesso a compartilhamentos administrativos, reduzir contas com privilégios locais amplos, segmentar a comunicação entre estáções e monitorar WMI como canal de execução remota. Consultas LDAP de enumeração de workstations vindas de estáções comuns devem gerar alerta, especialmente quando seguidas por conexões SMB para C$ e criação de processos remotos. A contenção durante incidente deve isolar hosts que mostram alteração em massa de arquivos, tentativas de remover cópias de sombra ou acesso lateral, preservando memória, eventos de processo e artefatos em TEMP para análise posterior.
A recuperação depende de cópias de segurança que não possam ser apagadas pela própria estáção comprometida. Como o Black Basta tenta remover cópias de sombra locais, backups offline, imutáveis ou segregados por credenciais diferentes reduzem o impacto. Depois da contenção, a validação precisa cobrir todo o intervalo anterior ao ransomware, porque a cadeia pode ter incluído QakBot, Cobalt Strike e outras etapas preparatórias. A ausência do executável final em uma máquina não elimina comprometimento se houver sinais de entrega, enumeração, execução remota ou evasão. A resposta deve revisar credenciais administrativas expostas, sessões remotas, políticas de WMI, regras de firewall interno e exceções de controle de aplicação usadas pelo ambiente.
- Bloquear execução de binários não inventariados que imitam ferramentas legítimas, mesmo quando assinados digitalmente.
- Correlacionar assinatura, caminho, origem, usuário, prevalência e comportamento antes de permitir execução.
- Restringir escrita em
C$e criação remota de processos via WMI a contas e hosts administrativos estritamente necessários. - Alertar para consultas LDAP de enumeração de estáções vindas de endpoints não administrativos.
- Isolar hosts com extensão
.basta,readme.txtno Desktop, alteração de papel de parede ou tentativa de exclusão de cópias de sombra. - Preservar memória, árvore de processos, artefatos em TEMP e eventos de rede interna para análise de cadeia completa.
- Validar backups offline, imutáveis ou segregados e testar restauração sem depender de cópias de sombra locais.
- Revisar o período anterior à criptografia em busca de QakBot, Cobalt Strike, entrega do dropper e movimentação lateral.
0 Comentários