برنامج الفدية Black Basta يستغل تكتيكات الهندسة الاجتماعية الجديدة

اعتمدت مجموعة Black Basta Ransomware، المعروفة باستراتيجياتها المتطورة، طرقًا جديدة لتوصيل الحمولة اعتبارًا من أكتوبر 2024. إلى جانب حملات الفدية التقليدية، يقومون الآن بتوزيع التهديدات مثل Zbot و DarkGate، مما يوضح التحول المدروس في نهجهم تجاه أهداف الاختراق.

الهندسة الاجتماعية تلتقي بقصف البريد الإلكتروني

يستخدم Black Basta قصف البريد الإلكتروني كخطوة أولية لإرباك الأهداف. يتضمن هذا التكتيك الاشتراك في بريد الضحية الإلكتروني في العديد من قوائم البريد الإلكتروني، مما يؤدي فعليًا إلى إغراق الاتصالات المشروعة في طوفان من البريد العشوائي. بعد قصف البريد الإلكتروني، يتواصل المهاجمون مباشرة مع المستخدمين المتضررين، مستغلين الارتباك لصالحهم.

انتحال الشخصية على المنصات المألوفة

ومن بين التكتيكات البارزة التي لوحظت في أغسطس/آب 2024 قيام المهاجمين بالتنكر في هيئة موظفي تكنولوجيا المعلومات أو موظفي الدعم على منصات مثل Microsoft Teams. ومن خلال التظاهر بأنهم من المطلعين الموثوق بهم، فإنهم يقنعون الأهداف بالانخراط في مزيد من التفاعل. وفي بعض الحالات، ينتحل المهاجمون صفة موظفي تكنولوجيا المعلومات الفعليين من المنظمة المستهدفة، مما يعزز مصداقيتهم.

الاستفادة من أدوات الوصول عن بعد للاختراق

غالبًا ما يتم خداع الضحايا لتثبيت برامج الوصول عن بُعد المشروعة مثل AnyDesk أو TeamViewer أو Quick Assist من Microsoft. بمجرد تثبيت هذه الأدوات، تمنح المهاجمين السيطرة على النظام. يتتبع فريق أمان Microsoft مجموعة المجرمين الإلكترونيين الذين يستغلون Quick Assist تحت المعرف Storm-1811.

القذائف العكسية ورموز الاستجابة السريعة المهددة

بالإضافة إلى أدوات الوصول عن بعد، يستخدم المهاجمون عميل OpenSSH لإنشاء واجهات عكسية، مما يمكنهم من التحكم في الأنظمة المخترقة. وتتضمن طريقة أخرى إرسال أكواد QR ضارة عبر منصات الدردشة تحت ستار إضافة جهاز محمول موثوق به. ومن المرجح أن تعيد أكواد QR هذه توجيه الضحايا إلى بنية تحتية ضارة أو سرقة بيانات اعتمادهم.

تسليم الحمولة: سرقة بيانات الاعتماد والهجمات اللاحقة

بمجرد إنشاء الوصول، يقوم المهاجمون بنشر حمولات إضافية، مثل حاصدات بيانات الاعتماد المخصصة، أو Zbot، أو DarkGate. تمكنهم هذه الأدوات من جمع بيانات الاعتماد، وتعداد بيئة الضحية، وإعداد المسرح لمزيد من الهجمات. قد تسمح سرقة ملفات تكوين VPN، جنبًا إلى جنب مع بيانات الاعتماد المخترقة، للمهاجمين بتجاوز المصادقة متعددة العوامل والوصول مباشرة إلى شبكة الهدف.

أصول وترسانة بلاك باستا

ظهرت مجموعة Black Basta كمجموعة مستقلة في عام 2022 بعد حل عصابة Conti ransomware. في البداية، اعتمدت المجموعة على شبكة QakBot، ومنذ ذلك الحين تنوعت أنشطتها، ودمجت تقنيات الهندسة الاجتماعية المتطورة في عملياتها.

تتضمن ترسانة البرامج الضارة الخاصة بهم ما يلي:

• KNOTWRAP : قطارة ذاكرة فقط مكتوبة بلغة C/C++، قادرة على تنفيذ الحمولات في الذاكرة.
• KNOTROCK : أداة .NET تُستخدم لنشر برامج الفدية نفسها.
• DAWNCRY : أداة أخرى للذاكرة فقط تقوم بفك تشفير الموارد المضمنة وتنفيذها باستخدام مفتاح مبرمج.
• PORTYARD : نفق يتصل بخوادم القيادة والتحكم (C2) باستخدام بروتوكول ثنائي مخصص.
• COGSCAN : أداة استطلاع تعتمد على .NET لحصر مضيفات الشبكة.

نهج هجين لتوصيل التهديدات

يسلط تطور بلاك باستا الضوء على انتقالهم من الاعتماد على شبكات الروبوتات إلى نموذج هجين يجمع بين التطور التقني والهندسة الاجتماعية. ويؤكد هذا التحول على قدرتهم على التكيف وتصميمهم على التسلل إلى الشبكات المستهدفة، مما يشكل تحديًا مستمرًا لدفاعات الأمن السيبراني.

البقاء يقظين ضد بلاك باستا

ولمواجهة مثل هذه التهديدات، يتعين على المؤسسات إعطاء الأولوية للتوعية بالأمن السيبراني، وتنفيذ مرشحات بريد إلكتروني قوية، وتثقيف الموظفين باستمرار حول مخاطر الاتصالات غير المرغوب فيها وتكتيكات انتحال الشخصية. وتشكل التدابير الفعّالة ضرورة أساسية للتخفيف من المخاطر التي تفرضها هذه المجموعة من التهديدات التي تتكيف باستمرار.