Black Basta Ransomware hyödyntää uusia sosiaalisen suunnittelun taktiikoita
Kehittyvistä strategioistaan tunnettu Black Basta Ransomware -ryhmä on ottanut käyttöön uusia hyötykuorman toimitusmenetelmiä lokakuusta 2024 lähtien. Perinteisten kiristyshaittaohjelmiensa ohella he levittävät nyt Zbotin ja DarkGaten kaltaisia uhkia, mikä kuvaa laskelmoitua muutosta heidän lähestymistavassaan kompromissikohteisiin.
Sisällysluettelo
Social Engineering kohtaa sähköpostipommitukset
Black Basta käyttää sähköpostipommittelua ensimmäisenä askeleena voittaakseen kohteita. Tämä taktiikka sisältää uhrin sähköpostin tilaamisen useille postituslistoille, mikä tehokkaasti hukuttaa laillisen viestinnän roskapostitulvaan. Sähköpostipommi-iskun jälkeen hyökkääjät ottavat yhteyttä suoraan asianosaisiin käyttäjiin hyödyntäen hämmennystä edukseen.
Toisena henkilönä esiintyminen tutuilla alustoilla
Elokuussa 2024 havaittu merkittävä taktiikka on, että hyökkääjät naamioituvat IT-henkilöiksi tai tukihenkilöiksi Microsoft Teamsin kaltaisilla alustoilla. Esiintyessään luotettavina sisäpiiriläisinä he vakuuttavat kohteet jatkamaan vuorovaikutusta. Joissakin tapauksissa hyökkääjät jopa esiintyvät kohteena olevan organisaation todellisina IT-henkilöstönä, mikä lisää heidän uskottavuuttaan.
Etäkäyttötyökalujen hyödyntäminen kompromisseihin
Uhrit huijataan usein asentamaan laillisia etäkäyttöohjelmistoja, kuten AnyDesk, TeamViewer tai Microsoftin Quick Assist. Asennuksen jälkeen nämä työkalut antavat hyökkääjille hallinnan järjestelmään. Microsoftin tietoturvatiimi jäljittää Quick Assist -palvelua hyödyntävää kyberrikollisryhmää tunnisteella Storm-1811.
Käänteiset kuoret ja uhkaavat QR-koodit
Etäkäyttötyökalujen lisäksi hyökkääjät käyttävät OpenSSH-asiakasohjelmaa käänteisten kuorien luomiseen, jotta he voivat hallita vaarantuneita järjestelmiä. Toinen tapa sisältää haitallisten QR-koodien lähettämisen chat-alustojen kautta luotetun mobiililaitteen lisäämisen varjolla. Nämä QR-koodit todennäköisesti ohjaavat uhrit haitalliseen infrastruktuuriin tai varastavat heidän tunnistetiedot.
Hyötykuorman toimitus: Tunnistevarkaudet ja jatkohyökkäykset
Kun käyttöoikeus on luotu, hyökkääjät ottavat käyttöön lisähyötykuormia, kuten mukautettuja tunnistetietojen kerääjiä, Zbotia tai DarkGatea. Näiden työkalujen avulla he voivat kerätä tunnistetietoja, luetella uhrin ympäristön ja luoda alustan uusille hyökkäyksille. VPN-määritystiedostojen varkaus yhdistettynä vaarantuneisiin tunnistetietoihin voi myös antaa hyökkääjille mahdollisuuden ohittaa monitekijätodennuksen ja päästä suoraan kohteen verkkoon.
Mustan Bastan alkuperä ja arsenaali
Black Basta nousi itsenäiseksi ryhmäksi vuonna 2022 Conti ransomware -jengin hajottua. Alun perin QakBot-botnet-verkkoon tukeutunut ryhmä on sittemmin monipuolistunut ja integroinut kehittyneitä sosiaalisen suunnittelun tekniikoita toimintoihinsa.
Heidän haittaohjelmaarsenaalinsa sisältää:
- KNOTWRAP : C/C++-kielellä kirjoitettu vain muistia sisältävä dropperi, joka pystyy suorittamaan hyötykuormia muistissa.
- KNOTROCK : .NET-apuohjelma, jota käytetään itse ransomwaren käyttöönotossa.
- DAWNCRY : Toinen vain muistia käyttävä dropperi, joka purkaa ja suorittaa sulautetut resurssit kovakoodatulla avaimella.
- PORTYARD : Tunneleri, joka muodostaa yhteyden komento- ja ohjauspalvelimiin (C2) mukautetun binaariprotokollan avulla.
- COGSCAN : .NET-pohjainen tiedustelutyökalu verkkoisäntäluetteloon.
Hybridi lähestymistapa uhkien toimittamiseen
Black Bastan evoluutio korostaa niiden siirtymistä botnet-verkoista hybridimalliin, jossa yhdistyvät tekninen hienostuneisuus ja sosiaalinen suunnittelu. Tämä muutos korostaa heidän sopeutumiskykyään ja päättäväisyyttään soluttautua kohdeverkkoihin, mikä muodostaa jatkuvan haasteen kyberturvallisuudelle.
Pysy valppaana Black Bastaa vastaan
Tällaisten uhkien torjumiseksi organisaatioiden on asetettava etusijalle kyberturvallisuustietoisuus, otettava käyttöön vahvat sähköpostisuodattimet ja jatkuvasti koulutettava työntekijöitä ei-toivotun viestinnän ja toisena henkilönä esiintymisen vaaroista. Tehokkaat toimenpiteet ovat välttämättömiä tämän jatkuvasti sopeutuvan uhkaryhmän aiheuttamien riskien vähentämisessä.