Black Basta Ransomware Mengeksploitasi Taktik Kejuruteraan Sosial Baharu
Kumpulan Black Basta Ransomware, yang terkenal dengan strateginya yang berkembang, telah menggunakan kaedah penghantaran muatan baharu setakat Oktober 2024. Di samping kempen perisian tebusan tradisional mereka, mereka kini mengedarkan ancaman seperti Zbot dan DarkGate, yang menggambarkan peralihan yang dikira dalam pendekatan mereka untuk menjejaskan sasaran.
Isi kandungan
Kejuruteraan Sosial Bertemu Pengeboman E-mel
Black Basta menggunakan pengeboman e-mel sebagai langkah awal untuk mengatasi sasaran. Taktik ini melibatkan melanggan e-mel mangsa ke banyak senarai mel, dengan berkesan menenggelamkan komunikasi yang sah dalam banjir spam. Berikutan pengeboman e-mel, penyerang menghubungi terus pengguna yang terjejas, memanfaatkan kekeliruan untuk keuntungan mereka.
Penyamaran pada Platform Biasa
Taktik ketara yang diperhatikan pada Ogos 2024 melibatkan penyerang yang menyamar sebagai kakitangan IT atau kakitangan sokongan pada platform seperti Microsoft Teams. Dengan menyamar sebagai orang dalam yang dipercayai, mereka meyakinkan sasaran untuk terlibat dalam interaksi selanjutnya. Dalam sesetengah kes, penyerang malah menyamar sebagai kakitangan IT sebenar daripada organisasi yang disasarkan, menguatkan kredibiliti mereka.
Memanfaatkan Alat Akses Jauh untuk Kompromi
Mangsa sering ditipu untuk memasang perisian capaian jauh yang sah seperti AnyDesk, TeamViewer atau Bantuan Pantas Microsoft. Setelah dipasang, alat ini memberikan penyerang kawalan ke atas sistem. Pasukan keselamatan Microsoft menjejaki kumpulan penjenayah siber yang mengeksploitasi Quick Assist di bawah pengecam Storm-1811.
Cangkang Terbalik dan Kod QR Mengancam
Selain alat capaian jauh, penyerang menggunakan klien OpenSSH untuk mewujudkan cengkerang terbalik, membolehkan mereka mengawal sistem yang terjejas. Kaedah lain melibatkan penghantaran kod QR berniat jahat melalui platform sembang dengan berselindung untuk menambah peranti mudah alih yang dipercayai. Kod QR ini berkemungkinan mengubah hala mangsa ke infrastruktur berbahaya atau mencuri bukti kelayakan mereka.
Penghantaran Muatan: Kecurian Bukti Bukti dan Serangan Susulan
Setelah akses diwujudkan, penyerang menggunakan muatan tambahan, seperti penuai kelayakan tersuai, Zbot atau DarkGate. Alat ini membolehkan mereka mengumpul bukti kelayakan, menghitung persekitaran mangsa, dan menetapkan peringkat untuk serangan selanjutnya. Kecurian fail konfigurasi VPN, digabungkan dengan kelayakan yang terjejas, juga mungkin membenarkan penyerang memintas pengesahan berbilang faktor dan mengakses terus rangkaian sasaran.
The Origins and Arsenal of Black Basta
Black Basta muncul sebagai kumpulan tersendiri pada 2022 selepas pembubaran kumpulan perisian tebusan Conti. Pada mulanya bergantung pada botnet QakBot, kumpulan itu sejak itu telah mempelbagaikan, menyepadukan teknik kejuruteraan sosial yang canggih ke dalam operasinya.
Senjata perisian hasad mereka termasuk:
- KNOTWRAP : Penitis memori sahaja yang ditulis dalam C/C++, mampu melaksanakan muatan dalam memori.
- KNOTROCK : Utiliti .NET yang digunakan untuk menggunakan perisian tebusan itu sendiri.
- DAWNCRY : Satu lagi penitis memori sahaja yang menyahsulit dan melaksanakan sumber terbenam menggunakan kunci berkod keras.
- PORTYARD : Sebuah terowong yang menyambung ke pelayan arahan dan kawalan (C2) menggunakan protokol binari tersuai.
- COGSCAN : Alat peninjau berasaskan .NET untuk penghitungan hos rangkaian.
Pendekatan Hibrid untuk Penyampaian Ancaman
Evolusi Black Basta menyerlahkan peralihan mereka daripada pergantungan pada botnet kepada model hibrid yang menggabungkan kecanggihan teknikal dengan kejuruteraan sosial. Anjakan ini menekankan kebolehsuaian dan keazaman mereka untuk menyusup ke rangkaian sasaran, menimbulkan cabaran berterusan kepada pertahanan keselamatan siber.
Tetap Waspada terhadap Black Basta
Untuk mengatasi ancaman sedemikian, organisasi mesti mengutamakan kesedaran keselamatan siber, melaksanakan penapis e-mel yang mantap dan mendidik pekerja secara berterusan tentang bahaya komunikasi yang tidak diminta dan taktik penyamaran. Langkah yang berkesan adalah penting dalam mengurangkan risiko yang ditimbulkan oleh kumpulan ancaman yang sentiasa menyesuaikan diri ini.