Оферта за отстъпка за множество лицензи
Компютърна сигурност Black Basta Ransomware използва нови тактики за социално...

Black Basta Ransomware използва нови тактики за социално инженерство

До Mezo през Компютърна сигурностг
Превод на:
български език

Групата Black Basta Ransomware, известна със своите развиващи се стратегии, прие нови методи за доставка на полезен товар от октомври 2024 г. Наред с традиционните си кампании за рансъмуер, те вече разпространяват заплахи като Zbot и DarkGate, илюстрирайки изчислена промяна в подхода им към компрометиращи цели.

Социалното инженерство среща имейл бомбардирането

Black Basta използва бомбардиране по имейл като начална стъпка за надхвърляне на целите. Тази тактика включва абониране на имейла на жертвата за многобройни пощенски списъци, което ефективно удавя легитимната комуникация в поток от спам. След бомбардирането по имейл, нападателите достигат директно до засегнатите потребители, като използват объркването в своя полза.

Представяне под чужда самоличност на познати платформи

Забележителна тактика, наблюдавана през август 2024 г., включва нападатели, маскирани като ИТ персонал или помощен персонал на платформи като Microsoft Teams. Като се представят за доверени вътрешни лица, те убеждават целите да се включат в по-нататъшно взаимодействие. В някои случаи нападателите дори се представят за действителен ИТ персонал от целевата организация, засилвайки доверието си.

Използване на инструменти за отдалечен достъп за компромис

Жертвите често са подлъгани да инсталират законен софтуер за отдалечен достъп като AnyDesk, TeamViewer или Quick Assist на Microsoft. Веднъж инсталирани, тези инструменти предоставят на атакуващите контрол над системата. Екипът по сигурността на Microsoft проследява киберпрестъпната група, използваща Quick Assist под идентификатора Storm-1811.

Обратни черупки и заплашителни QR кодове

В допълнение към инструментите за отдалечен достъп, нападателите използват клиента OpenSSH, за да установят обратни обвивки, което им позволява да контролират компрометирани системи. Друг метод включва изпращане на злонамерени QR кодове чрез чат платформи под прикритието на добавяне на надеждно мобилно устройство. Тези QR кодове вероятно пренасочват жертвите към вредна инфраструктура или крадат техните идентификационни данни.

Доставка на полезен товар: кражба на идентификационни данни и последващи атаки

След като достъпът е установен, атакуващите разполагат допълнителни полезни натоварвания, като персонализирани събирачи на идентификационни данни, Zbot или DarkGate. Тези инструменти им позволяват да събират идентификационни данни, да изброяват средата на жертвата и да подготвят почвата за по-нататъшни атаки. Кражбата на VPN конфигурационни файлове, съчетана с компрометирани идентификационни данни, може също да позволи на нападателите да заобиколят многофакторното удостоверяване и да получат директен достъп до мрежата на целта.

Произходът и арсеналът на Black Basta

Black Basta се появи като самостоятелна група през 2022 г. след разпадането на бандата Conti ransomware. Първоначално разчитайки на QakBot ботнет, групата се диверсифицира, интегрирайки сложни техники за социално инженерство в своите операции.

Техният арсенал от зловреден софтуер включва:

  • KNOTWRAP : Dropper само за памет, написан на C/C++, способен да изпълнява полезни натоварвания в паметта.
  • KNOTROCK : .NET помощна програма, използвана за внедряване на самия ransomware.
  • DAWNCRY : Друг капкомер само за памет, който дешифрира и изпълнява вградени ресурси с помощта на твърдо кодиран ключ.
  • PORTYARD : Тунел, който се свързва със сървъри за командване и контрол (C2), използвайки персонализиран двоичен протокол.
  • COGSCAN : Базиран на .NET инструмент за разузнаване за изброяване на мрежови хостове.

Хибриден подход към доставката на заплахи

Еволюцията на Black Basta подчертава техния преход от зависимост от ботнет мрежи към хибриден модел, който съчетава техническа сложност със социално инженерство. Тази промяна подчертава тяхната адаптивност и решителност да проникнат в целевите мрежи, което представлява постоянно предизвикателство за защитата на киберсигурността.

Останете бдителни срещу Black Basta

За да противодействат на подобни заплахи, организациите трябва да дадат приоритет на осведомеността за киберсигурността, да внедрят стабилни имейл филтри и непрекъснато да образоват служителите за опасностите от непоискани комуникации и тактики за имитация. Ефективните мерки са от съществено значение за смекчаване на рисковете, породени от тази постоянно адаптираща се група заплахи.

Зареждане...