Selon Security.com (Symantec and Carbon Black), une récente campagne de Black Basta se distingue par l’intégration d’un composant d’évasion (BYOVD) directement au sein du payload du rançongiciel, une approche rare pour cette famille et potentiellement en voie de généralisation.

  • Le payload dépose un driver vulnérable NsecSoft NSecKrnl (CVE-2025-68947), crée un service NSecKrnl, puis exploite ce driver en mode noyau pour tuer des processus de sécurité (AV/EDR), avant de chiffrer les fichiers en leur apposant l’extension “.locked”. Sont visés notamment des processus Sophos, Symantec, Microsoft Defender (MsMpEng), CrowdStrike, Cybereason, Trend Micro, ESET et Avast.

  • Cette intégration BYOVD dans le payload est inhabituelle (déjà observée avec Ryuk en 2020 et Obscura en 2025) et n’avait jamais été vue chez Black Basta. L’article souligne que cette méthode peut être plus « discrète » (pas de binaire séparé) et accélérer l’attaque, en réduisant la fenêtre d’intervention des défenseurs. Elle pourrait aussi servir d’argument pour attirer des affiliés si le modèle s’y prête.

  • Des éléments connexes ont été observés : un loader side-loadé détecté plusieurs semaines avant le déploiement du rançongiciel, suggérant une longue dwell time, et la présence de l’outil d’accès à distance GotoHTTP le lendemain du chiffrement, fait peu commun qui peut indiquer une volonté de persistance post-ransomware.

  • Contexte menace/acteurs : Black Basta est opéré par le groupe Cardinal. Après la fuite massive de chats internes en février 2025, l’activité avait ralenti. Récemment, des perquisitions en Ukraine ont visé deux membres présumés et le supposé leader, Oleg Evgenievich Nefedov, a été nommé sur les listes des plus recherchés de l’UE et d’Interpol. Malgré un regain d’activité, ces actions pourraient à nouveau freiner le groupe.

  • Panorama BYOVD en 2026 : la technique BYOVD domine l’impairment des défenses, via des drivers signés mais vulnérables utilisés pour l’élévation de privilèges et la neutralisation d’outils de sécurité. L’article cite plusieurs outils fréquemment vus : TrueSightKiller, Gmer, Warp AVKiller (driver Avira), GhostDriver, Poortry/BurntCigar (avec Stonestop), et AuKill. 🔒🛡️

IoCs (fournis)

  • 5213706ae67a7bf9fa2c0ea5800a4c358b0eaf3fe8481be13422d57a0f192379 – Suspicious file
  • e09686fde44ae5a804d9546105ebf5d2832917df25d6888aefa36a1769fe4eb4 – Webshell – xxxxx.aspx
  • bf6686858109d695ccdabce78c873d07fa740f025c45241b0122cecbdd76b54e – Loader – vspmsg.dll
  • 6bd8a0291b268d32422139387864f15924e1db05dbef8cc75a6677f8263fa11d – Black Basta ransomware – wxt4e.exe, wxt4e.txt
  • 206f27ae820783b7755bca89f83a0fe096dbb510018dd65b63fc80bd20c03261 – Vulnerable NsecSoft NSecKrnl Driver – 402.sys
  • 230b84398e873938bbcc7e4a1a358bde4345385d58eb45c1726cee22028026e9 – GotoHTTP – gotohttp.exe

TTPs observées/mentionnées

  • BYOVD: dépôt et exploitation d’un driver vulnérable signé (NsecSoft NSecKrnl, CVE-2025-68947) pour tuer des processus protégés via IOCTL.
  • Création de service Windows pour le driver (NSecKrnl service).
  • Neutralisation de produits AV/EDR (nombreux processus ciblés dont Sophos, Symantec, MsMpEng, CSFalconService, etc.).
  • Chiffrement des fichiers avec extension “.locked”.
  • DLL sideloading (loader side-loadé, ex. vspmsg.dll) et persistence RAT (GotoHTTP) post-déploiement.
  • Dwell time prolongé avant déclenchement du rançongiciel.

Type: analyse de menace visant à documenter une évolution tactique (BYOVD intégré au payload) et partager des IoCs.

🧠 TTPs et IOCs détectés

TTP

[‘BYOVD: dépôt et exploitation d’un driver vulnérable signé (NsecSoft NSecKrnl, CVE-2025-68947) pour tuer des processus protégés via IOCTL’, ‘Création de service Windows pour le driver (NSecKrnl service)’, ‘Neutralisation de produits AV/EDR (nombreux processus ciblés dont Sophos, Symantec, MsMpEng, CSFalconService, etc.)’, ‘Chiffrement des fichiers avec extension “.locked”’, ‘DLL sideloading (loader side-loadé, ex. vspmsg.dll)’, ‘Persistence RAT (GotoHTTP) post-déploiement’, ‘Dwell time prolongé avant déclenchement du rançongiciel’]

IOC

[‘5213706ae67a7bf9fa2c0ea5800a4c358b0eaf3fe8481be13422d57a0f192379’, ’e09686fde44ae5a804d9546105ebf5d2832917df25d6888aefa36a1769fe4eb4’, ‘bf6686858109d695ccdabce78c873d07fa740f025c45241b0122cecbdd76b54e’, ‘6bd8a0291b268d32422139387864f15924e1db05dbef8cc75a6677f8263fa11d’, ‘206f27ae820783b7755bca89f83a0fe096dbb510018dd65b63fc80bd20c03261’, ‘230b84398e873938bbcc7e4a1a358bde4345385d58eb45c1726cee22028026e9’]

🔗 Source originale : https://www.security.com/threat-intelligence/black-basta-ransomware-byovd