Black Basta Ransomware išnaudoja naują socialinės inžinerijos taktiką
„Black Basta Ransomware“ grupė, žinoma dėl savo besivystančių strategijų, nuo 2024 m. spalio mėnesio taikė naujus naudingojo krovinio pristatymo metodus. Be tradicinių išpirkos programų kampanijų, dabar jie platina ir grėsmes, tokias kaip „Zbot“ ir „DarkGate“, o tai iliustruoja apskaičiuotą požiūrio į kompromisus tikslus pokytį.
Turinys
Socialinė inžinerija atitinka elektroninio pašto bombardavimą
„Black Basta“ naudoja elektroninio pašto bombardavimą kaip pradinį žingsnį, kad nugalėtų taikinius. Ši taktika apima aukos el. pašto prenumeratą į daugybę adresatų sąrašų, o tai veiksmingai paskandina teisėtą bendravimą šiukšlių antplūdyje. Po elektroninio pašto sprogdinimo užpuolikai tiesiogiai susisiekia su paveiktais vartotojais, pasinaudodami painiava savo naudai.
Apsimetinėjimas pažįstamose platformose
Įsidėmėtina taktika, pastebėta 2024 m. rugpjūčio mėn., apima užpuolikų apsimetimą IT darbuotojais arba pagalbiniais darbuotojais tokiose platformose kaip „Microsoft Teams“. Apsimesdami patikimais viešai neatskleista informacija, jie įtikina taikinius užmegzti tolesnę sąveiką. Kai kuriais atvejais užpuolikai netgi apsimeta tikrais IT darbuotojais iš tikslinės organizacijos, padidindami jų patikimumą.
Nuotolinės prieigos įrankių naudojimas kompromisams
Aukos dažnai apgaudinėjamos įdiegti teisėtą nuotolinės prieigos programinę įrangą, tokią kaip AnyDesk, TeamViewer arba Microsoft Quick Assist. Įdiegę šie įrankiai suteikia užpuolikams galimybę valdyti sistemą. „Microsoft“ saugos komanda seka kibernetinių nusikaltėlių grupę, išnaudojančią „Quick Assist“ su identifikatoriumi Storm-1811.
Atvirkštiniai apvalkalai ir grėsmingi QR kodai
Be nuotolinės prieigos įrankių, užpuolikai naudoja OpenSSH klientą, kad sukurtų atvirkštinius apvalkalus, leidžiančius valdyti pažeistas sistemas. Kitas būdas apima kenkėjiškų QR kodų siuntimą per pokalbių platformas, prisidengiant patikimo mobiliojo įrenginio pridėjimu. Šie QR kodai greičiausiai nukreipia aukas į žalingą infrastruktūrą arba pavagia jų kredencialus.
Naudingo krovinio pristatymas: kredencialų vagystės ir tolesni išpuoliai
Sukūrę prieigą, užpuolikai diegia papildomus naudingus krovinius, pvz., pasirinktinius kredencialų rinktuvus, Zbot arba DarkGate. Šios priemonės leidžia rinkti kredencialus, išvardyti aukos aplinką ir sudaryti sąlygas tolesniems išpuoliams. VPN konfigūracijos failų vagystė kartu su pažeistais kredencialais taip pat gali leisti užpuolikams apeiti kelių veiksnių autentifikavimą ir tiesiogiai pasiekti taikinio tinklą.
Juodosios Bastos kilmė ir arsenalas
„Black Basta“ kaip atskira grupė atsirado 2022 m., kai iširo „Conti“ ransomware gauja. Iš pradžių pasikliaudama „QakBot“ botnetu, grupė nuo to laiko diversifikavosi, į savo veiklą integruodama sudėtingas socialinės inžinerijos technologijas.
Jų kenkėjiškų programų arsenale yra:
- KNOTWRAP : tik atminties lašintuvas, parašytas C/C++, galintis vykdyti naudingąsias apkrovas atmintyje.
- KNOTROCK : .NET programa, naudojama pačiai išpirkos reikalaujančiajai programai įdiegti.
- DAWNCRY : Kitas tik atminties lašintuvas, kuris iššifruoja ir vykdo įterptuosius išteklius naudodamas kieto kodo raktą.
- PORTYARD : tuneris, kuris jungiasi prie komandų ir valdymo (C2) serverių, naudodamas pasirinktinį dvejetainį protokolą.
- COGSCAN : .NET pagrindu sukurtas žvalgybos įrankis, skirtas tinklo prieglobos surašymui.
Hibridinis požiūris į grėsmių pateikimą
„Black Basta“ evoliucija pabrėžia jų perėjimą nuo botnetų prie hibridinio modelio, kuriame techninis sudėtingumas derinamas su socialine inžinerija. Šis pokytis pabrėžia jų gebėjimą prisitaikyti ir ryžtą įsiskverbti į tikslinius tinklus, o tai yra nuolatinis iššūkis kibernetinio saugumo apsaugai.
Būkite budrūs prieš juodąjį Bastą
Siekdamos kovoti su tokiomis grėsmėmis, organizacijos turi teikti pirmenybę kibernetinio saugumo suvokimui, įdiegti patikimus el. pašto filtrus ir nuolat šviesti darbuotojus apie nepageidaujamo bendravimo ir apsimetinėjimo taktikos pavojus. Veiksmingos priemonės yra būtinos siekiant sumažinti šios nuolat prisitaikančios grėsmių grupės keliamą riziką.