成功攻击世界云通讯巨头Twilio，并拿到赎金的黑客组织黑巴斯塔(Black Basta)，自2022年4月开始，横扫美、英、法、德、印度、加拿大、澳大利亚、新西兰、阿联酋等经济发达国家，多达50余个机构被迫花钱免灾，赎金总额已超1.5亿美元，但唯独中国未被染指，背后原因耐人寻味。

黑巴斯塔(Black Basta)长什么样？截止目前能明确的信息，该组织攻击特征与著名勒索软件团伙 Conti高度吻合，其骨干成员5人，组织者：Tramp，全权负责攻击方案制定、指挥、策划；技术总监：Dandis，软件制作技术支持；市场总监：Professor，负责赎金回收与管理；运维总监：Reshaev，保障攻击网络平台运行与安全；行政总监：Target，负责人员招募、后期保障与法律服务。成员间相互联系用俄语。美国政府已悬赏 1000 万美元，用于征集该组织成员个人信息。

黑巴斯塔(Black Basta)攻击目标有什么特征？总体地域目标锁定英语国家，重点目标是美国。行业目标有建筑业、制造业、采矿业、金属加工、商业服务、食品饮料生产、化学品合成、保险、医疗保健、高等教育、公用事业、政府机构及物流运输业等。通信设备目标有windows系统服务器、运行VMware的 Linux架构平台，明显对象是内网重要数据主机，一旦攻击成功，自动加密被控机上的文件，并向用户留下勒索赎金字条，要求赎金以加密货币形式支付。

黑巴斯塔(Black Basta)攻击基本手法是什么？渗透成功后，由主程序释放 systemparamaterssinfoW更改桌面壁纸，并使用名为dlaksjdoiwq.jpg的文件作为桌面背景壁纸，由GetSystemMetrics检查启动选项，同时向注册表中添加HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Fax，后由ShellExecuteA执行在安全模式启动 FAX 多线程加密服务。自动以扩展名.basta加密受控机上垃圾桶、桌面、本地设置、开机加载项、文档、注册信息、图片数据、图标库，并删除系统日志、数据备份，使被控机受无法恢复到加密状态，只能交付赎金后，由控制方解锁。

黑巴斯塔(Black Basta)攻击应对方法是什么？一是定期离线备份重要数据，证书和密码要加密副本；二是必要时做物理隔离，阻止非法登录系统、访问、修改、删除关键数据；三是确保专机专用，杜绝安装非专业用软件、访问非必要不明链接；四是不在专用机上打开未经核实的通信数据、电子邮件附件；五是强化授权多重身份认证防护措施；六是网络安全运行实时监管，发现异常及时处置。

黑巴斯塔(Black Basta)为何至今未对中国发起攻击？一是得益于中国是俄语国家友好伙伴；二是中国政府没有以妥协方式向恶意攻击支付赎金的先例；三是中国政府从来没有国家背景网络攻击行为。

当然事件发展有待进一步清晰，读者对此有自己的理解与研判，期待交流。