Black Basta Ransomware udnytter nye sociale teknikker
Black Basta Ransomware-gruppen, kendt for sine udviklende strategier, har vedtaget nye metoder til levering af payload fra oktober 2024. Sideløbende med deres traditionelle ransomware-kampagner distribuerer de nu trusler såsom Zbot og DarkGate, hvilket illustrerer et beregnet skift i deres tilgang til at gå på kompromis med mål.
Indholdsfortegnelse
Social Engineering møder e-mailbombning
Black Basta bruger e-mailbombning som et indledende skridt til at overvælde mål. Denne taktik involverer at abonnere på ofrets e-mail på adskillige mailinglister, hvilket effektivt drukner lovlig kommunikation i en strøm af spam. Efter e-mailbombningen rækker angriberne ud direkte til de berørte brugere og udnytter forvirringen til deres fordel.
Efterligning på kendte platforme
En bemærkelsesværdig taktik, der blev observeret i august 2024, involverer angribere, der forklæder sig som it-personale eller supportpersonale på platforme som Microsoft Teams. Ved at udgive sig som betroede insidere overbeviser de mål til at engagere sig i yderligere interaktion. I nogle tilfælde efterligner angriberne endda faktiske it-medarbejdere fra den målrettede organisation, hvilket forstærker deres troværdighed.
Udnyttelse af fjernadgangsværktøjer til kompromis
Ofre bliver ofte narret til at installere legitim fjernadgangssoftware såsom AnyDesk, TeamViewer eller Microsofts Quick Assist. Når de er installeret, giver disse værktøjer angribere kontrol over systemet. Microsofts sikkerhedsteam sporer den cyberkriminelle gruppe, der udnytter Quick Assist under identifikationen Storm-1811.
Omvendte skaller og truende QR-koder
Ud over fjernadgangsværktøjer bruger angriberne OpenSSH-klienten til at etablere reverse shells, hvilket gør dem i stand til at kontrollere kompromitterede systemer. En anden metode involverer at sende ondsindede QR-koder gennem chatplatforme under dække af at tilføje en pålidelig mobilenhed. Disse QR-koder omdirigerer sandsynligvis ofre til skadelig infrastruktur eller stjæler deres legitimationsoplysninger.
Nyttelastlevering: Legitimationstyveri og opfølgende angreb
Når adgangen er etableret, implementerer angriberne yderligere nyttelast, såsom brugerdefinerede credential-høstere, Zbot eller DarkGate. Disse værktøjer sætter dem i stand til at indsamle legitimationsoplysninger, opregne ofrets omgivelser og sætte scenen for yderligere angreb. Tyveri af VPN-konfigurationsfiler, kombineret med kompromitterede legitimationsoplysninger, kan også give angriberne mulighed for at omgå multi-faktor-autentificering og få direkte adgang til målets netværk.
The Origins and Arsenal of Black Basta
Black Basta opstod som en selvstændig gruppe i 2022 efter opløsningen af Conti ransomware-banden. Oprindeligt afhængig af QakBot-botnettet, har gruppen siden diversificeret og integreret sofistikerede social engineering-teknikker i sine operationer.
Deres malware-arsenal inkluderer:
- KNOTWRAP : En dropper, der kun indeholder hukommelse, skrevet i C/C++, der er i stand til at udføre nyttelast i hukommelsen.
- KNOTROCK : Et .NET-værktøj, der bruges til at implementere selve ransomwaren.
- DAWNCRY : Endnu en hukommelsesdropper, der dekrypterer og eksekverer indlejrede ressourcer ved hjælp af en hårdkodet nøgle.
- PORTYARD : En tunneler, der forbinder til kommando-og-kontrol (C2) servere ved hjælp af en brugerdefineret binær protokol.
- COGSCAN : Et .NET-baseret rekognosceringsværktøj til opregning af netværksvært.
En hybrid tilgang til trussellevering
Black Bastas evolution fremhæver deres overgang fra afhængighed af botnets til en hybridmodel, der kombinerer teknisk sofistikering med social engineering. Dette skift understreger deres tilpasningsevne og beslutsomhed til at infiltrere målnetværk, hvilket udgør en vedvarende udfordring for cybersikkerhedsforsvar.
Staying årvågenhed mod Black Basta
For at modvirke sådanne trusler skal organisationer prioritere cybersikkerhedsbevidsthed, implementere robuste e-mail-filtre og løbende uddanne medarbejderne om farerne ved uopfordret kommunikation og efterligningstaktikker. Effektive foranstaltninger er afgørende for at afbøde de risici, som denne stadigt tilpassede trusselsgruppe udgør.