BLACK BASTA GANG声称对英国供水公司——南方水务公司进行了黑客攻击

Southern Water是一家私营公用事业公司，负责收集和处理汉普郡、怀特岛、西萨塞克斯、东萨塞克斯和肯特的废水，并为该地区约一半的地区提供公共供水。

该公司是英国水行业的主要参与者，拥有6000多名员工，年营业额超过10亿英镑。它致力于为客户提供高质量的水和废水服务。

Black Basta勒索软件组织在其Tor数据泄露网站上将Southern Water添加到受害者名单中，并威胁要在2024年2月29日泄露被盗数据。

Black Basta 发布英国水务公司 Southern Water 的广告。

该组织声称已窃取了750 GB的敏感数据，包括用户的个人文件和公司文件。
该团伙发布了一些截图作为攻击的证据，包括护照、身份证和一些员工的个人信息。

目前，尚不清楚该组织向受害者索要的赎金是多少。

Black Basta勒索软件组织自2022年4月以来一直很活跃，与其他勒索软件组织一样，它实施了双重勒索攻击模式。
1月初，独立安全研究和咨询团队SRLabs发现了Black Basta勒索软件加密算法中的一个漏洞，并利用该漏洞创建了一个免费的解密器。

Elliptic和Corvus Insurance的一项联合研究表明，该组织自2022年初以来累计收取了至少1.07亿美元的比特币赎金。据专家称，该勒索软件团伙已感染了329名受害者，包括ABB、Capita、Dish Network和莱茵金属公司。

研究人员分析了区块链交易，他们发现Black Basta与Conti集团之间存在明显的联系。

2022年，康迪团伙停止了行动，恰逢威胁格局中黑巴斯塔团伙的出现。

该集团主要通过俄罗斯加密货币交易所Garantex清洗非法资金。

SRLabs分析了勒索软件使用的加密算法，并在2023年4月左右该团伙使用的变体中发现了一个特定弱点。勒索软件采用基于ChaCha密钥流的加密，该密钥流用于对64字节长的文件块执行XOR操作。

研究人员确定，加密块的位置由文件大小决定，如上述ranges.py所示。根据文件大小，勒索软件对前5000个字节进行加密。

加密块的位置由文件大小决定。根据文件大小，勒索软件会加密前5000个字节。

我们的分析表明，如果已知64个加密字节的明文，则可以恢复文件。文件是否完全或部分可恢复取决于文件的大小。小于5000字节的文件无法恢复。对于大小在5000字节到1GB之间的文件，可以完全恢复。对于大于1GB的文件，前5000个字节将丢失，但其余部分可以恢复。“研究人员发布的帖子中写道。“恢复取决于知道文件的64个加密字节的明文。换句话说，知道64个字节本身是不够的，因为已知的明文字节需要位于文件的一个位置，该位置需要基于恶意软件的逻辑进行加密，以确定对文件的哪些部分进行加密。对于某些文件类型，在正确的位置知道64个明文字节是可行的，特别是虚拟机磁盘映像。”

专家指出，这种弱点不会影响文件前5000个字节的加密过程，因此，这些字节无法恢复。这意味着小于5000个字节的文件无法恢复。

SRLabs开发了工具，使用户能够分析加密文件并确定是否可以解密。

解密工具可能允许恢复包含加密零字节的文件。研究人员继续说道：“根据恶意软件加密文件的次数和程度，需要人工审查才能完全恢复文件。“

坏消息是Black Bast已经修复了这个问题。解密器只允许恢复2023年12月之前加密的文件。

据BleepingComputer报道，“解密器允许Black Basta受害者从2022年11月到本月免费恢复他们的文件。然而，BleepingComputer了解到，Black Basta开发人员大约一周前修复了加密例程中的错误，防止这种解密技术在新的攻击中使用。”

原文始发于微信公众号（黑猫安全）：BLACK BASTA GANG声称对英国供水公司——南方水务公司进行了黑客攻击