Black Basta lunavara kasutab uusi sotsiaalse tehnika taktikaid
Arenevate strateegiate poolest tuntud Black Basta Ransomware grupp on alates 2024. aasta oktoobrist võtnud kasutusele uued kasuliku koormuse kohaletoimetamise meetodid. Lisaks traditsioonilistele lunavarakampaaniatele levitavad nad nüüd ka selliseid ohte nagu Zbot ja DarkGate, mis illustreerib arvestuslikku nihet nende lähenemises kompromissi sihtmärkidele.
Sisukord
Sotsiaaltehnoloogia kohtub e-posti pommitamisega
Must Basta kasutab sihtmärkide ületamiseks esimese sammuna e-posti pommitamist. See taktika hõlmab ohvri e-kirjade tellimist paljudele meililistidele, mis uputab seadusliku suhtluse rämpspostitulva. Pärast meilipommitamist jõuavad ründajad otse mõjutatud kasutajateni, kasutades segadust enda kasuks.
Esinemine tuttavatel platvormidel
Märkimisväärne taktika, mida täheldati 2024. aasta augustis, hõlmab ründajaid, kes maskeeruvad IT-töötajateks või tugipersonaliks sellistel platvormidel nagu Microsoft Teams. Esinedes usaldusväärsete siseringi inimestena, veenavad nad sihtmärke edasises suhtluses. Mõnel juhul kehastavad ründajad isegi sihtorganisatsiooni tegelikke IT-töötajaid, suurendades nende usaldusväärsust.
Kaugjuurdepääsu tööriistade kasutamine kompromisside saavutamiseks
Ohvreid meelitatakse sageli installima legitiimset kaugjuurdepääsu tarkvara, nagu AnyDesk, TeamViewer või Microsofti Quick Assist. Pärast installimist annavad need tööriistad ründajatele süsteemi üle kontrolli. Microsofti turvameeskond jälgib identifikaatori Storm-1811 all kiirabi ära kasutavat küberkurjategijate gruppi.
Vastupidised kestad ja ähvardavad QR-koodid
Lisaks kaugjuurdepääsu tööriistadele kasutavad ründajad OpenSSH-klienti pöördkoorikute loomiseks, võimaldades neil kontrollida ohustatud süsteeme. Teine meetod hõlmab pahatahtlike QR-koodide saatmist vestlusplatvormide kaudu usaldusväärse mobiilseadme lisamise varjus. Need QR-koodid suunavad ohvrid tõenäoliselt ümber kahjulikku infrastruktuuri või varastavad nende mandaadid.
Kasuliku koorma kohaletoimetamine: mandaadi vargus ja järelrünnakud
Kui juurdepääs on loodud, juurutavad ründajad täiendavaid kasulikke koormusi, nagu kohandatud mandaadikogujad, Zbot või DarkGate. Need tööriistad võimaldavad neil koguda mandaate, loetleda ohvri keskkonda ja luua aluse edasisteks rünnakuteks. VPN-i konfiguratsioonifailide vargus koos rikutud mandaatidega võib samuti võimaldada ründajatel mitmefaktorilisest autentimisest mööda minna ja pääseda otse sihtmärgi võrku.
Musta Basta päritolu ja arsenal
Black Basta tekkis eraldiseisva grupina 2022. aastal pärast Conti lunavarajõugu laialisaatmist. Algselt QakBoti robotvõrgule tuginev grupp on sellest ajast alates mitmekesistunud, integreerides oma tegevustesse keerukad sotsiaalse insenertehnika tehnikad.
Nende pahavara arsenal sisaldab:
- KNOTWRAP : C/C++ keeles kirjutatud ainult mäluga dropper, mis on võimeline täitma mälus olevaid kasulikke koormusi.
- KNOTROCK : .NET-i utiliit, mida kasutatakse lunavara enda juurutamiseks.
- DAWNCRY : Teine ainult mäluga tilguti, mis dekrüpteerib ja käivitab manustatud ressursse, kasutades kõvakodeeritud võtit.
- PORTYARD : tunneler, mis loob ühenduse käsu-ja juhtimise (C2) serveritega, kasutades kohandatud binaarprotokolli.
- COGSCAN : .NET-i põhinev luuretööriist võrgu hostide loendamiseks.
Hübriidne lähenemine ohtude edastamisele
Black Basta areng tõstab esile nende üleminekut robotivõrkudele tuginevalt hübriidmudelile, mis ühendab tehnilise keerukuse sotsiaalse inseneriga. See nihe rõhutab nende kohanemisvõimet ja sihikindlust sihtvõrkudesse imbuda, seades küberjulgeoleku kaitsemeetmetele püsiva väljakutse.
Musta Basta vastu valvsus
Selliste ohtude vastu võitlemiseks peavad organisatsioonid seadma esikohale küberturvalisuse teadlikkuse, rakendama tugevaid meilifiltreid ja pidevalt koolitama töötajaid soovimatu suhtluse ja kellegi teisena esinemise taktika ohtude kohta. Tõhusad meetmed on hädavajalikud selle pidevalt kohaneva ohurühma põhjustatud riskide maandamiseks.