Több licencre vonatkozó kedvezményes árajánlat
Számítógépes biztonság A Black Basta Ransomware új társadalmi tervezési...

A Black Basta Ransomware új társadalmi tervezési taktikákat használ ki

Mezo -ra Számítógépes biztonság-ben
Fordítás ide:
Magyar

A fejlődő stratégiáiról ismert Black Basta Ransomware csoport 2024 októberétől új rakomány-szállítási módszereket fogadott el. Hagyományos ransomware-kampányaik mellett immár olyan fenyegetéseket is terjesztenek, mint a Zbot és a DarkGate, ami jól szemlélteti a kompromisszumos célpontok megközelítésének kiszámított elmozdulását.

A Social Engineering találkozik az e-mail bombázással

A Black Basta az e-mail bombázást alkalmazza első lépésként a célpontok legyőzésére. Ez a taktika magában foglalja az áldozat e-mailjére való feliratkozást számos levelezőlistára, ami hatékonyan elfojtja a legitim kommunikációt a spam özönében. Az e-mail-robbantást követően a támadók közvetlenül az érintett felhasználókhoz fordulnak, a zűrzavart a maguk javára fordítva.

Megszemélyesítés ismerős platformokon

A 2024 augusztusában megfigyelt figyelemre méltó taktika szerint a támadók informatikai személyzetnek vagy támogató személyzetnek álcázzák magukat olyan platformokon, mint a Microsoft Teams. Azzal, hogy megbízható bennfentesnek adják ki magukat, meggyőzik a célpontokat a további interakciókról. Egyes esetekben a támadók a megcélzott szervezet tényleges informatikai munkatársait is kiadják maguknak, erősítve a hitelességüket.

Távoli hozzáférési eszközök kihasználása a kompromisszum érdekében

Az áldozatokat gyakran csalják meg, hogy olyan legitim távoli hozzáférésű szoftvereket telepítsenek, mint az AnyDesk, a TeamViewer vagy a Microsoft Quick Assist. A telepítést követően ezek az eszközök a támadók számára biztosítják a rendszer feletti ellenőrzést. A Microsoft biztonsági csapata Storm-1811 azonosítóval követi a Quick Assist szolgáltatást kihasználó kiberbűnözői csoportot.

Fordított héjak és fenyegető QR-kódok

A távelérési eszközökön kívül a támadók az OpenSSH-ügyfelet használják fordított parancsértelmezők létrehozására, lehetővé téve számukra a feltört rendszerek irányítását. Egy másik módszer magában foglalja a rosszindulatú QR-kódok csevegőplatformokon keresztüli küldését egy megbízható mobileszköz hozzáadásának leple alatt. Ezek a QR-kódok valószínűleg a káros infrastruktúrába irányítják át az áldozatokat, vagy ellopják a hitelesítő adataikat.

Rakomány kézbesítés: hitelesítő adatok ellopása és követő támadások

A hozzáférés létrejöttét követően a támadók további hasznos terheket telepítenek, például egyéni hitelesítő adatgyűjtőket, Zbotot vagy DarkGate-et. Ezek az eszközök lehetővé teszik számukra, hogy hitelesítő adatokat gyűjtsenek, számba vegyék az áldozat környezetét, és előkészítsék a terepet a további támadásokhoz. A VPN-konfigurációs fájlok ellopása a feltört hitelesítési adatokkal kombinálva azt is lehetővé teheti a támadók számára, hogy megkerüljék a többtényezős hitelesítést, és közvetlenül hozzáférjenek a célpont hálózatához.

Fekete Basta eredete és arzenálja

A Black Basta önálló csoportként jelent meg 2022-ben, miután feloszlott a Conti ransomware banda. A kezdetben a QakBot botnetre támaszkodó csoport azóta diverzifikált, kifinomult social engineering technikákat integrálva működésébe.

A rosszindulatú programok arzenáljuk a következőket tartalmazza:

  • KNOTWRAP : C/C++ nyelven írt, csak memóriát használó dropper, amely képes a memóriában lévő hasznos terhelések végrehajtására.
  • KNOTROCK : Egy .NET segédprogram magának a ransomware-nek a telepítésére.
  • DAWNCRY : Egy másik, csak memóriát használó dropper, amely visszafejti és végrehajtja a beágyazott erőforrásokat egy kemény kódolt kulcs segítségével.
  • PORTYARD : Egy alagút, amely egyéni bináris protokoll használatával csatlakozik a parancs- és vezérlőkiszolgálókhoz (C2).
  • COGSCAN : .NET-alapú felderítő eszköz a hálózati gazdagépek számbavételéhez.

A veszélyek átadásának hibrid megközelítése

A Black Basta evolúciója rávilágít arra, hogy a botnetekre támaszkodva egy hibrid modellre váltanak át, amely ötvözi a technikai kifinomultságot a szociális tervezéssel. Ez az elmozdulás alátámasztja alkalmazkodóképességüket és eltökéltségüket a célhálózatokba való beszivárgás iránt, ami állandó kihívást jelent a kiberbiztonsági védelem számára.

Maradj éber Fekete Basta ellen

Az ilyen fenyegetések ellensúlyozása érdekében a szervezeteknek prioritásként kell kezelniük a kiberbiztonsági tudatosságot, robusztus e-mail szűrőket kell alkalmazniuk, és folyamatosan tájékoztatniuk kell az alkalmazottakat a kéretlen kommunikáció és a megszemélyesítési taktikák veszélyeiről. A hatékony intézkedések elengedhetetlenek az állandóan alkalmazkodó fenyegetéscsoport által jelentett kockázatok mérsékléséhez.

Betöltés...