הצעת הנחה מרובה רישיונות
אבטחת מחשבים Black Basta Ransomware מנצלת טקטיקות חדשות של הנדסה חברתית

Black Basta Ransomware מנצלת טקטיקות חדשות של הנדסה חברתית

עד Mezo ב-אבטחת מחשבים
לתרגם ל:
עברית

קבוצת Black Basta Ransomware, הידועה באסטרטגיות המתפתחות שלה, אימצה שיטות מסירת מטענים חדשות החל מאוקטובר 2024. לצד מסעות הפרסום המסורתיים שלהם, הם מפיצים כעת איומים כגון Zbot ו-DarkGate, מה שממחיש שינוי מחושב בגישתם להתפשר על יעדים.

הנדסה חברתית פוגשת הפצצת דואר אלקטרוני

בלאק באסטה משתמש בהפצצת דוא"ל כצעד ראשוני כדי להציף מטרות. טקטיקה זו כוללת הרשמה לדוא"ל של הקורבן לרשימות תפוצה רבות, ולמעשה הטביעה תקשורת לגיטימית במבול של ספאם. בעקבות הפצצת האימייל, התוקפים פונים ישירות למשתמשים המושפעים, וממנפים את הבלבול לטובתם.

התחזות בפלטפורמות מוכרות

טקטיקה בולטת שנצפתה באוגוסט 2024 כוללת תוקפים שמתחזות לצוות IT או לאנשי תמיכה בפלטפורמות כמו Microsoft Teams. על ידי התחזות כמקורבים מהימנים, הם משכנעים יעדים לעסוק באינטראקציה נוספת. במקרים מסוימים, התוקפים אפילו מתחזים לצוות IT ממשי מהארגון המיועד, מה שמגביר את אמינותם.

מינוף כלי גישה מרחוק לפשרה

לעתים קרובות מרמים קורבנות להתקין תוכנות לגיטימיות לגישה מרחוק כגון AnyDesk, TeamViewer או Quick Assist של מיקרוסופט. לאחר ההתקנה, הכלים הללו מעניקים לתוקפים שליטה על המערכת. צוות האבטחה של מיקרוסופט עוקב אחר קבוצת פושעי הסייבר המנצלת את Quick Assist תחת המזהה Storm-1811.

צדפים הפוכים וקודי QR מאיימים

בנוסף לכלי גישה מרחוק, התוקפים משתמשים בלקוח OpenSSH כדי ליצור מעטפת הפוכה, המאפשרת להם לשלוט במערכות שנפגעו. שיטה נוספת כוללת שליחת קודי QR זדוניים דרך פלטפורמות צ'אט במסווה של הוספת מכשיר נייד מהימן. קודי QR אלה עשויים להפנות את הקורבנות לתשתית מזיקה או לגנוב את האישורים שלהם.

מסירת מטען: גניבת אישורים והתקפות המשך

לאחר הקמת גישה, התוקפים פורסים מטענים נוספים, כגון אספי אישורים מותאמים אישית, Zbot או DarkGate. כלים אלו מאפשרים להם לאסוף אישורים, למנות את סביבתו של הקורבן ולהכין את הבמה להתקפות נוספות. גניבת קבצי תצורת VPN, בשילוב עם אישורים שנפגעו, עשויה גם לאפשר לתוקפים לעקוף אימות רב-גורמי ולגשת ישירות לרשת היעד.

The Origins and Arsenal of Black Basta

בלאק באסטה הופיעה כקבוצה עצמאית בשנת 2022 לאחר פירוק כנופיית תוכנת הכופר Conti. כשהיא מסתמכת בתחילה על ה-botnet QakBot, הקבוצה גונתה מאז, תוך שילוב טכניקות מתוחכמות של הנדסה חברתית בפעילותה.

ארסנל התוכנות הזדוניות שלהם כולל:

  • KNOTWRAP : טפטפת לזיכרון בלבד כתובה ב-C/C++, המסוגלת להפעיל עומסים בזיכרון.
  • KNOTROCK : כלי עזר NET המשמש לפריסת תוכנת הכופר עצמה.
  • DAWNCRY : עוד טיפת זיכרון בלבד שמפענחת ומבצעת משאבים משובצים באמצעות מפתח מקודד.
  • PORTYARD : מנהור המתחבר לשרתי פיקוד ושליטה (C2) באמצעות פרוטוקול בינארי מותאם אישית.
  • COGSCAN : כלי סיור מבוסס NET עבור ספירת מארח רשת.

גישה היברידית לאיומים

האבולוציה של בלאק באסטה מדגישה את המעבר שלהם מהסתמכות על רשתות בוטים למודל היברידי המשלב תחכום טכני עם הנדסה חברתית. שינוי זה מדגיש את יכולת ההסתגלות והנחישות שלהם לחדור לרשתות יעד, מה שמציב אתגר מתמשך להגנות אבטחת סייבר.

להישאר ערניים נגד בלאק באסטה

כדי לנטרל איומים כאלה, ארגונים חייבים לתת עדיפות למודעות לאבטחת סייבר, ליישם מסנני דוא"ל חזקים, ולחנך ללא הרף את העובדים לגבי הסכנות של תקשורת בלתי רצויה וטקטיקות התחזות. אמצעים יעילים חיוניים בהפחתת הסיכונים הנשקפים מקבוצת האיומים ההולכת ומסתגלת.

טוען...