Black Basta Ransomware využívá nové taktiky sociálního inženýrství
Skupina Black Basta Ransomware, známá svými vyvíjejícími se strategiemi, přijala od října 2024 nové metody doručování užitečného zatížení. Vedle svých tradičních ransomwarových kampaní nyní distribuuje hrozby, jako jsou Zbot a DarkGate, což ilustruje vypočítaný posun v jejich přístupu ke kompromisním cílům.
Obsah
Sociální inženýrství se setkává s e-mailovým bombardováním
Black Basta využívá e-mailové bombardování jako první krok k přemožení cílů. Tato taktika zahrnuje přihlášení e-mailu oběti do četných e-mailových konferencí, což efektivně utopí legitimní komunikaci v záplavě spamu. Po e-mailovém bombovém útoku se útočníci dostanou přímo k postiženým uživatelům a využijí zmatek ve svůj prospěch.
Předstírání identity na známých platformách
Pozoruhodná taktika pozorovaná v srpnu 2024 zahrnuje útočníky vydávající se za IT pracovníky nebo podpůrné pracovníky na platformách, jako je Microsoft Teams. Tím, že se vydávají za důvěryhodné zasvěcené osoby, přesvědčují cíle, aby se zapojily do další interakce. V některých případech se útočníci dokonce vydávají za skutečné IT pracovníky z cílové organizace, čímž zvyšují jejich důvěryhodnost.
Využití nástrojů pro vzdálený přístup pro kompromisy
Oběti jsou často podvedeny k instalaci legitimního softwaru pro vzdálený přístup, jako je AnyDesk, TeamViewer nebo Quick Assist od Microsoftu. Po instalaci tyto nástroje poskytují útočníkům kontrolu nad systémem. Bezpečnostní tým Microsoftu sleduje kyberzločineckou skupinu využívající Quick Assist pod identifikátorem Storm-1811.
Reverzní shelly a ohrožující QR kódy
Kromě nástrojů pro vzdálený přístup používají útočníci klienta OpenSSH k vytvoření reverzních shellů, které jim umožňují ovládat napadené systémy. Další metoda zahrnuje odesílání škodlivých QR kódů prostřednictvím chatovacích platforem pod rouškou přidání důvěryhodného mobilního zařízení. Tyto QR kódy pravděpodobně přesměrovávají oběti na škodlivou infrastrukturu nebo ukradnou jejich přihlašovací údaje.
Doručování užitečného zatížení: Krádež pověření a následné útoky
Jakmile je přístup vytvořen, útočníci nasadí další užitečné zatížení, jako jsou vlastní sklizeň pověření, Zbot nebo DarkGate. Tyto nástroje jim umožňují shromáždit přihlašovací údaje, vyčíslit prostředí oběti a připravit půdu pro další útoky. Krádež konfiguračních souborů VPN v kombinaci s kompromitovanými přihlašovacími údaji může útočníkům také umožnit obejít vícefaktorovou autentizaci a přímo získat přístup k síti cíle.
Origins a Arsenal of Black Basta
Black Basta se objevila jako samostatná skupina v roce 2022 po rozpuštění ransomwarového gangu Conti. Skupina, která se zpočátku spoléhala na botnet QakBot, se od té doby diverzifikovala a do svých operací integrovala sofistikované techniky sociálního inženýrství.
Jejich malwarový arzenál zahrnuje:
- KNOTWRAP : Kapátko pouze v paměti napsané v C/C++, schopné spouštět užitečné zatížení v paměti.
- KNOTROCK : Nástroj .NET používaný k nasazení samotného ransomwaru.
- DAWNCRY : Další kapátko pouze pro paměť, které dešifruje a spouští vložené prostředky pomocí pevně zakódovaného klíče.
- PORTYARD : Tunelový modul, který se připojuje k serverům příkazů a řízení (C2) pomocí vlastního binárního protokolu.
- COGSCAN : Průzkumný nástroj založený na .NET pro výčet hostitelů sítě.
Hybridní přístup k ohrožení doručení
Evoluce Black Basta zdůrazňuje jejich přechod od spoléhání se na botnety k hybridnímu modelu, který kombinuje technickou vyspělost se sociálním inženýrstvím. Tento posun podtrhuje jejich přizpůsobivost a odhodlání infiltrovat cílové sítě, což představuje trvalou výzvu pro obranu kybernetické bezpečnosti.
Zůstaňte ve střehu proti Black Basta
Aby organizace čelily těmto hrozbám, musí upřednostňovat povědomí o kybernetické bezpečnosti, implementovat robustní e-mailové filtry a neustále vzdělávat zaměstnance o nebezpečích nevyžádané komunikace a taktik předstírání jiné identity. Účinná opatření jsou nezbytná pro zmírnění rizik, která tato neustále se přizpůsobující skupina hrozeb představuje.