Εκπτωτική προσφορά πολλαπλών αδειών
Ασφάλεια Υπολογιστών Το Black Basta Ransomware εκμεταλλεύεται νέες τακτικές...

Το Black Basta Ransomware εκμεταλλεύεται νέες τακτικές κοινωνικής μηχανικής

Μέχρι το Mezo το Ασφάλεια Υπολογιστών
Μετάφραση σε:
Ελληνικά

Η ομάδα Black Basta Ransomware, γνωστή για τις εξελισσόμενες στρατηγικές της, έχει υιοθετήσει νέες μεθόδους παράδοσης ωφέλιμου φορτίου από τον Οκτώβριο του 2024. Παράλληλα με τις παραδοσιακές καμπάνιες ransomware, διανέμουν τώρα απειλές όπως το Zbot και το DarkGate, υποδεικνύοντας μια υπολογισμένη αλλαγή στην προσέγγισή τους για συμβιβασμούς στόχων.

Η κοινωνική μηχανική συναντά τον βομβαρδισμό μέσω email

Ο Black Basta χρησιμοποιεί τον βομβαρδισμό μέσω email ως αρχικό βήμα για να συντρίψει στόχους. Αυτή η τακτική περιλαμβάνει την εγγραφή του email του θύματος σε πολυάριθμες λίστες αλληλογραφίας, πνίγοντας ουσιαστικά τη νόμιμη επικοινωνία σε μια πλημμύρα ανεπιθύμητων μηνυμάτων. Μετά τη βομβιστική επίθεση μέσω email, οι εισβολείς απευθύνονται απευθείας στους επηρεαζόμενους χρήστες, αξιοποιώντας τη σύγχυση προς όφελός τους.

Απομίμηση σε γνωστές πλατφόρμες

Μια αξιοσημείωτη τακτική που παρατηρήθηκε τον Αύγουστο του 2024 περιλαμβάνει επιτιθέμενους που μεταμφιέζονται σε προσωπικό πληροφορικής ή προσωπικό υποστήριξης σε πλατφόρμες όπως το Microsoft Teams. Με το να παρουσιάζονται ως έμπιστοι άνθρωποι, πείθουν τους στόχους να συμμετάσχουν σε περαιτέρω αλληλεπίδραση. Σε ορισμένες περιπτώσεις, οι εισβολείς υποδύονται ακόμη και το πραγματικό προσωπικό πληροφορικής από τον οργανισμό που στοχεύει, ενισχύοντας την αξιοπιστία τους.

Αξιοποίηση εργαλείων απομακρυσμένης πρόσβασης για συμβιβασμό

Τα θύματα συχνά εξαπατούνται ώστε να εγκαταστήσουν νόμιμη απομακρυσμένη πρόσβαση λογισμικού, όπως το AnyDesk, το TeamViewer ή το Quick Assist της Microsoft. Μόλις εγκατασταθούν, αυτά τα εργαλεία παρέχουν στους εισβολείς τον έλεγχο του συστήματος. Η ομάδα ασφαλείας της Microsoft παρακολουθεί την ομάδα κυβερνοεγκληματιών που εκμεταλλεύεται το Quick Assist με το αναγνωριστικό Storm-1811.

Αντίστροφα κοχύλια και απειλητικοί κωδικοί QR

Εκτός από τα εργαλεία απομακρυσμένης πρόσβασης, οι εισβολείς χρησιμοποιούν τον υπολογιστή-πελάτη OpenSSH για να δημιουργήσουν αντίστροφα κελύφη, επιτρέποντάς τους να ελέγχουν παραβιασμένα συστήματα. Μια άλλη μέθοδος περιλαμβάνει την αποστολή κακόβουλων κωδικών QR μέσω πλατφορμών συνομιλίας με το πρόσχημα της προσθήκης μιας αξιόπιστης κινητής συσκευής. Αυτοί οι κωδικοί QR είναι πιθανό να ανακατευθύνουν τα θύματα σε επιβλαβείς υποδομές ή να κλέψουν τα διαπιστευτήριά τους.

Παράδοση ωφέλιμου φορτίου: κλοπή διαπιστευτηρίων και επακόλουθες επιθέσεις

Μόλις αποκατασταθεί η πρόσβαση, οι εισβολείς αναπτύσσουν πρόσθετα ωφέλιμα φορτία, όπως προσαρμοσμένες συσκευές συγκομιδής διαπιστευτηρίων, Zbot ή DarkGate. Αυτά τα εργαλεία τους δίνουν τη δυνατότητα να συγκεντρώσουν διαπιστευτήρια, να απαριθμήσουν το περιβάλλον του θύματος και να δημιουργήσουν το έδαφος για περαιτέρω επιθέσεις. Η κλοπή αρχείων διαμόρφωσης VPN, σε συνδυασμό με παραβιασμένα διαπιστευτήρια, μπορεί επίσης να επιτρέψει στους εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων και να αποκτήσουν απευθείας πρόσβαση στο δίκτυο του στόχου.

The Origins and Arsenal of Black Basta

Το Black Basta εμφανίστηκε ως αυτόνομη ομάδα το 2022 μετά τη διάλυση της συμμορίας Conti ransomware. Βασιζόμενος αρχικά στο botnet QakBot, ο όμιλος έκτοτε διαφοροποιήθηκε, ενσωματώνοντας εξελιγμένες τεχνικές κοινωνικής μηχανικής στις δραστηριότητές του.

Το οπλοστάσιο κακόβουλου λογισμικού τους περιλαμβάνει:

  • KNOTWRAP : Ένα σταγονόμετρο μόνο για μνήμη γραμμένο σε C/C++, ικανό να εκτελεί ωφέλιμα φορτία στη μνήμη.
  • KNOTROCK : Ένα βοηθητικό πρόγραμμα .NET που χρησιμοποιείται για την ανάπτυξη του ίδιου του ransomware.
  • DAWNCRY : Ένα άλλο dropper μόνο με μνήμη που αποκρυπτογραφεί και εκτελεί ενσωματωμένους πόρους χρησιμοποιώντας ένα κλειδί με σκληρό κώδικα.
  • PORTYARD : Ένα tunneler που συνδέεται με διακομιστές Command-and-Control (C2) χρησιμοποιώντας ένα προσαρμοσμένο δυαδικό πρωτόκολλο.
  • COGSCAN : Ένα εργαλείο αναγνώρισης βασισμένο σε .NET για απαρίθμηση κεντρικών υπολογιστών δικτύου.

Μια υβριδική προσέγγιση για την παράδοση απειλών

Η εξέλιξη του Black Basta υπογραμμίζει τη μετάβασή τους από την εξάρτηση από botnets σε ένα υβριδικό μοντέλο που συνδυάζει την τεχνική πολυπλοκότητα με την κοινωνική μηχανική. Αυτή η αλλαγή υπογραμμίζει την προσαρμοστικότητά τους και την αποφασιστικότητά τους να διεισδύσουν σε δίκτυα-στόχους, θέτοντας μια επίμονη πρόκληση για την άμυνα της κυβερνοασφάλειας.

Παραμένοντας σε επαγρύπνηση ενάντια στον Black Basta

Για την αντιμετώπιση τέτοιων απειλών, οι οργανισμοί πρέπει να δώσουν προτεραιότητα στη συνειδητοποίηση της κυβερνοασφάλειας, να εφαρμόσουν ισχυρά φίλτρα email και να εκπαιδεύουν συνεχώς τους υπαλλήλους σχετικά με τους κινδύνους της ανεπιθύμητης επικοινωνίας και τις τακτικές πλαστοπροσωπίας. Τα αποτελεσματικά μέτρα είναι απαραίτητα για τον μετριασμό των κινδύνων που θέτει αυτή η διαρκώς προσαρμόσιμη ομάδα απειλών.

Φόρτωση...