Black Basta Ransomware izmanto jaunas sociālās inženierijas taktikas
Grupa Black Basta Ransomware, kas ir pazīstama ar savām attīstošajām stratēģijām, no 2024. gada oktobra ir pieņēmusi jaunas kravas piegādes metodes. Līdztekus savām tradicionālajām izspiedējvīrusu kampaņām tagad viņi izplata tādus draudus kā Zbot un DarkGate, kas ilustrē aprēķinātās izmaiņas pieejā, lai sasniegtu kompromisus.
Satura rādītājs
Sociālā inženierija tiekas ar e-pasta bombardēšanu
Black Basta izmanto e-pasta bombardēšanu kā pirmo soli, lai pārvarētu mērķus. Šī taktika ietver upura e-pasta abonēšanu daudzos adresātu sarakstos, efektīvi noslīcinot likumīgu saziņu surogātpasta plūdos. Pēc e-pasta bombardēšanas uzbrucēji tieši sazinās ar ietekmētajiem lietotājiem, izmantojot apjukumu savā labā.
Uzdošanās par citiem pazīstamās platformās
Ievērojama taktika, kas tika novērota 2024. gada augustā, ietver uzbrucējus, kas maskējas par IT darbiniekiem vai atbalsta personālu tādās platformās kā Microsoft Teams. Uzdodoties par uzticamiem iekšējās informācijas lietotājiem, viņi pārliecina mērķus iesaistīties turpmākā mijiedarbībā. Dažos gadījumos uzbrucēji pat uzdodas par patiesajiem IT darbiniekiem no mērķa organizācijas, pastiprinot viņu uzticamību.
Attālās piekļuves rīku izmantošana kompromisam
Cietušie bieži tiek viltoti instalēt likumīgu attālās piekļuves programmatūru, piemēram, AnyDesk, TeamViewer vai Microsoft Quick Assist. Pēc instalēšanas šie rīki nodrošina uzbrucējiem kontroli pār sistēmu. Microsoft drošības komanda ar identifikatoru Storm-1811 izseko kibernoziedznieku grupu, kas izmanto Quick Assist.
Reversie apvalki un draudoši QR kodi
Papildus attālās piekļuves rīkiem uzbrucēji izmanto OpenSSH klientu, lai izveidotu reversās čaulas, ļaujot viņiem kontrolēt apdraudētas sistēmas. Vēl viena metode ietver ļaunprātīgu QR kodu nosūtīšanu, izmantojot tērzēšanas platformas, uzticamas mobilās ierīces pievienošanas aizsegā. Šie QR kodi, iespējams, novirza upurus uz kaitīgu infrastruktūru vai nozog viņu akreditācijas datus.
Kravas piegāde: akreditācijas datu zādzība un turpmāki uzbrukumi
Kad piekļuve ir izveidota, uzbrucēji izvieto papildu kravas, piemēram, pielāgotus akreditācijas datu savācējus, Zbot vai DarkGate. Šie rīki ļauj viņiem savākt akreditācijas datus, uzskaitīt upura vidi un izveidot pamatu turpmākiem uzbrukumiem. VPN konfigurācijas failu zādzība kopā ar apdraudētiem akreditācijas datiem var arī ļaut uzbrucējiem apiet vairāku faktoru autentifikāciju un tieši piekļūt mērķa tīklam.
Black Basta izcelsme un arsenāls
Black Basta kā atsevišķa grupa parādījās 2022. gadā pēc Conti ransomware bandas likvidēšanas. Sākotnēji paļaujoties uz QakBot robottīklu, grupa kopš tā laika ir dažādojusi, savā darbībā integrējot sarežģītas sociālās inženierijas metodes.
Viņu ļaunprātīgās programmatūras arsenālā ietilpst:
- KNOTWRAP : tikai atmiņai paredzētais pilinātājs, kas rakstīts C/C++ un spēj izpildīt lietderīgās slodzes atmiņā.
- KNOTROCK : .NET utilīta, ko izmanto pašas izspiedējvīrusa izvietošanai.
- DAWNCRY : Vēl viens tikai atmiņas pilinātājs, kas atšifrē un izpilda iegultos resursus, izmantojot cieto atslēgu.
- PORTYARD : tuneris, kas savienojas ar komandu un vadības (C2) serveriem, izmantojot pielāgotu bināro protokolu.
- COGSCAN : uz .NET balstīts izlūkošanas rīks tīkla resursdatora uzskaitei.
Hibrīda pieeja draudu piegādei
Black Basta evolūcija izceļ to pāreju no paļaušanās uz robottīkliem uz hibrīda modeli, kas apvieno tehnisko izsmalcinātību ar sociālo inženieriju. Šī maiņa uzsver viņu pielāgošanās spēju un apņēmību iefiltrēties mērķa tīklos, radot pastāvīgu izaicinājumu kiberdrošības aizsardzībai.
Saglabājot modrību pret Black Basta
Lai novērstu šādus draudus, organizācijām par prioritāti ir jāizvirza izpratne par kiberdrošību, jāievieš spēcīgi e-pasta filtri un pastāvīgi jāizglīto darbinieki par nevēlamas saziņas un uzdošanās taktikas draudiem. Efektīvi pasākumi ir būtiski, lai mazinātu riskus, ko rada šī nepārtraukti pielāgojamā draudu grupa.