Black Basta Ransomware utnytter ny sosial ingeniørtaktikk

Black Basta Ransomware-gruppen, kjent for sine utviklende strategier, har tatt i bruk nye metoder for levering av nyttelast fra oktober 2024. Ved siden av sine tradisjonelle løsepengevarekampanjer distribuerer de nå trusler som Zbot og DarkGate, noe som illustrerer et beregnet skifte i deres tilnærming til å kompromisse mål.

Social Engineering møter e-postbombing

Black Basta bruker e-postbombing som et første skritt for å overvelde mål. Denne taktikken innebærer å abonnere på offerets e-post på en rekke e-postlister, og effektivt drukne legitim kommunikasjon i en flom av spam. Etter e-postbombingen når angriperne ut direkte til de berørte brukerne, og utnytter forvirringen til deres fordel.

Etterligning på kjente plattformer

En bemerkelsesverdig taktikk observert i august 2024 involverer angripere som gir seg ut som IT-personell eller støttepersonell på plattformer som Microsoft Teams. Ved å utgi seg som pålitelige innsidere overbeviser de mål om å engasjere seg i videre interaksjon. I noen tilfeller utgir angriperne seg til og med som faktiske IT-ansatte fra den målrettede organisasjonen, noe som forsterker deres troverdighet.

Utnytte verktøy for fjerntilgang for kompromisser

Ofre blir ofte lurt til å installere legitim fjerntilgangsprogramvare som AnyDesk, TeamViewer eller Microsofts Quick Assist. Når de er installert, gir disse verktøyene angripere kontroll over systemet. Microsofts sikkerhetsteam sporer den nettkriminelle gruppen som utnytter Quick Assist under identifikatoren Storm-1811.

Omvendte skjell og truende QR-koder

I tillegg til fjerntilgangsverktøy, bruker angriperne OpenSSH-klienten til å etablere omvendte skall, som gjør dem i stand til å kontrollere kompromitterte systemer. En annen metode innebærer å sende ondsinnede QR-koder gjennom chatteplattformer under dekke av å legge til en pålitelig mobilenhet. Disse QR-kodene omdirigerer sannsynligvis ofre til skadelig infrastruktur eller stjeler deres legitimasjon.

Nyttelastlevering: Legitimasjonstyveri og oppfølgingsangrep

Når tilgang er etablert, distribuerer angriperne ytterligere nyttelaster, for eksempel tilpassede legitimasjonshøstere, Zbot eller DarkGate. Disse verktøyene gjør dem i stand til å samle inn legitimasjon, telle opp offerets miljø og sette scenen for ytterligere angrep. Tyveri av VPN-konfigurasjonsfiler, kombinert med kompromittert legitimasjon, kan også tillate angriperne å omgå multifaktorautentisering og få direkte tilgang til målets nettverk.

The Origins and Arsenal of Black Basta

Black Basta dukket opp som en frittstående gruppe i 2022 etter oppløsningen av Conti ransomware-gjengen. I utgangspunktet avhengig av QakBot-botnettet, har gruppen siden diversifisert, og integrert sofistikerte sosiale ingeniørteknikker i sin virksomhet.

Deres malware-arsenal inkluderer:

• KNOTWRAP : En minnedropper skrevet i C/C++, i stand til å utføre nyttelast i minnet.
• KNOTROCK : Et .NET-verktøy som brukes til å distribuere selve løsepengevaren.
• DAWNCRY : En annen minnedropper som dekrypterer og kjører innebygde ressurser ved hjelp av en hardkodet nøkkel.
• PORTYARD : En tunneler som kobles til kommando-og-kontroll-servere (C2) ved hjelp av en tilpasset binær protokoll.
• COGSCAN : Et .NET-basert rekognoseringsverktøy for oppregning av nettverksverter.

En hybrid tilnærming til trussellevering

Black Bastas utvikling fremhever deres overgang fra avhengighet av botnett til en hybridmodell som kombinerer teknisk sofistikering med sosial ingeniørkunst. Dette skiftet understreker deres tilpasningsevne og besluttsomhet til å infiltrere målnettverk, og utgjør en vedvarende utfordring for cybersikkerhetsforsvar.

Vær på vakt mot Black Basta

For å motvirke slike trusler, må organisasjoner prioritere cybersikkerhetsbevissthet, implementere robuste e-postfiltre og kontinuerlig utdanne ansatte om farene ved uønsket kommunikasjon og etterligningstaktikker. Effektive tiltak er avgjørende for å redusere risikoen som denne stadig tilpassende trusselgruppen utgjør.