Cotització de descompte per a múltiples llicències
Seguretat informàtica Black Basta Ransomware explota noves tàctiques...

Black Basta Ransomware explota noves tàctiques d'enginyeria social

El Mezo el Seguretat informàtica
Traduir a:
Català

El grup Black Basta Ransomware, conegut per les seves estratègies en evolució, ha adoptat nous mètodes de lliurament de càrrega útil a partir d'octubre de 2024. Al costat de les seves campanyes tradicionals de ransomware, ara distribueixen amenaces com Zbot i DarkGate, il·lustrant un canvi calculat en el seu enfocament dels objectius de compromís.

L'enginyeria social es troba amb el bombardeig de correu electrònic

Black Basta utilitza el bombardeig de correu electrònic com a pas inicial per aclaparar els objectius. Aquesta tàctica consisteix a subscriure el correu electrònic de la víctima a nombroses llistes de correu, ofegant efectivament la comunicació legítima en una riuada de correu brossa. Després del bombardeig de correu electrònic, els atacants es posen en contacte directament amb els usuaris afectats, aprofitant la confusió al seu avantatge.

Suplantació d'identitat en plataformes familiars

Una tàctica notable observada a l'agost del 2024 consisteix en atacants que es fan passar per personal informàtic o personal de suport a plataformes com Microsoft Teams. En fer-se passar per persones privilegiades de confiança, convencen els objectius de participar en més interaccions. En alguns casos, els atacants fins i tot suplanten el personal informàtic real de l'organització objectiu, augmentant la seva credibilitat.

Aprofitant les eines d'accés remot per comprometre's

Les víctimes sovint són enganyades perquè instal·lin programari d'accés remot legítim com AnyDesk, TeamViewer o Quick Assist de Microsoft. Un cop instal·lades, aquestes eines atorguen als atacants el control del sistema. L'equip de seguretat de Microsoft fa un seguiment del grup cibercriminal que explota Quick Assist amb l'identificador Storm-1811.

Petxines inverses i codis QR amenaçadors

A més de les eines d'accés remot, els atacants utilitzen el client OpenSSH per establir shells inversos, cosa que els permet controlar sistemes compromesos. Un altre mètode consisteix a enviar codis QR maliciosos a través de plataformes de xat amb l'excusa d'afegir un dispositiu mòbil de confiança. Aquests codis QR probablement redirigeixen les víctimes a infraestructures nocives o els roben les credencials.

Lliurament de càrrega útil: robatori de credencials i atacs posteriors

Un cop establert l'accés, els atacants despleguen càrregues útils addicionals, com ara recol·lectors de credencials personalitzades, Zbot o DarkGate. Aquestes eines els permeten reunir credencials, enumerar l'entorn de la víctima i preparar l'escenari per a més atacs. El robatori de fitxers de configuració VPN, combinat amb credencials compromeses, també pot permetre als atacants evitar l'autenticació multifactor i accedir directament a la xarxa de l'objectiu.

Els orígens i l'arsenal de Black Basta

Black Basta va sorgir com a grup autònom el 2022 després de la dissolució de la banda de ransomware Conti. Des d'aleshores, basant-se en la botnet QakBot, el grup s'ha diversificat, integrant tècniques d'enginyeria social sofisticades a les seves operacions.

El seu arsenal de programari maliciós inclou:

  • KNOTWRAP : un dropper només de memòria escrit en C/C++, capaç d'executar càrregues útils a la memòria.
  • KNOTROCK : una utilitat .NET que s'utilitza per desplegar el propi ransomware.
  • DAWNCRY : un altre comptagotes només de memòria que desxifra i executa recursos incrustats mitjançant una clau codificada.
  • PORYARD : un tunelador que es connecta a servidors de comandament i control (C2) mitjançant un protocol binari personalitzat.
  • COGSCAN : una eina de reconeixement basada en .NET per a l'enumeració d'amfitrions de xarxa.

Un enfocament híbrid per al lliurament d'amenaces

L'evolució de Black Basta destaca la seva transició de la dependència de les botnets a un model híbrid que combina la sofisticació tècnica amb l'enginyeria social. Aquest canvi subratlla la seva adaptabilitat i determinació per infiltrar-se a les xarxes objectiu, cosa que suposa un repte persistent per a les defenses de ciberseguretat.

Mantenir-se vigilant contra Black Basta

Per contrarestar aquestes amenaces, les organitzacions han de prioritzar la consciència de la ciberseguretat, implementar filtres de correu electrònic robustos i educar contínuament els empleats sobre els perills de les comunicacions no sol·licitades i les tàctiques de suplantació d'identitat. Les mesures efectives són essencials per mitigar els riscos que suposa aquest grup d'amenaces en constant adaptació.

Carregant...