Kortingsaanbieding voor meerdere licenties
Computerbeveiliging Black Basta Ransomware maakt gebruik van nieuwe social...

Black Basta Ransomware maakt gebruik van nieuwe social engineering-tactieken

Tegen Mezo in Computerbeveiliging
Vertalen naar:
Nederlands

De Black Basta Ransomware-groep, bekend om zijn evoluerende strategieën, heeft sinds oktober 2024 nieuwe methoden voor het afleveren van payloads aangenomen. Naast hun traditionele ransomware-campagnes verspreiden ze nu ook bedreigingen zoals Zbot en DarkGate, wat een weloverwogen verandering in hun aanpak van doelwitten illustreert.

Social Engineering ontmoet e-mailbombardementen

Black Basta gebruikt e-mailbombing als eerste stap om doelen te overweldigen. Deze tactiek houdt in dat het e-mailadres van het slachtoffer wordt geabonneerd op talloze mailinglijsten, waardoor legitieme communicatie effectief wordt overspoeld met spam. Na de e-mailbombing nemen de aanvallers rechtstreeks contact op met de getroffen gebruikers, waarbij ze de verwarring in hun voordeel gebruiken.

Imitatie op bekende platforms

Een opvallende tactiek die in augustus 2024 werd waargenomen, is dat aanvallers zich voordoen als IT-personeel of ondersteunend personeel op platforms zoals Microsoft Teams. Door zich voor te doen als vertrouwde insiders, overtuigen ze doelwitten om verder te interacteren. In sommige gevallen imiteren de aanvallers zelfs echt IT-personeel van de beoogde organisatie, wat hun geloofwaardigheid vergroot.

Het inzetten van hulpmiddelen voor externe toegang bij inbreuken

Slachtoffers worden vaak misleid om legitieme software voor externe toegang te installeren, zoals AnyDesk, TeamViewer of Microsoft's Quick Assist. Eenmaal geïnstalleerd, geven deze tools aanvallers controle over het systeem. Het beveiligingsteam van Microsoft volgt de cybercriminele groep die Quick Assist misbruikt onder de identifier Storm-1811.

Omgekeerde schelpen en bedreigende QR-codes

Naast tools voor externe toegang gebruiken de aanvallers de OpenSSH-client om reverse shells te maken, waarmee ze gecompromitteerde systemen kunnen besturen. Een andere methode is het verzenden van kwaadaardige QR-codes via chatplatforms onder het mom van het toevoegen van een vertrouwd mobiel apparaat. Deze QR-codes leiden slachtoffers waarschijnlijk om naar schadelijke infrastructuur of stelen hun inloggegevens.

Payload Delivery: diefstal van inloggegevens en vervolgaanvallen

Zodra toegang is verkregen, implementeren de aanvallers aanvullende payloads, zoals aangepaste credential harvesters, Zbot of DarkGate. Deze tools stellen hen in staat om credentials te verzamelen, de omgeving van het slachtoffer op te sommen en het toneel te bereiden voor verdere aanvallen. De diefstal van VPN-configuratiebestanden, gecombineerd met gecompromitteerde credentials, kan de aanvallers ook in staat stellen om multi-factor authenticatie te omzeilen en rechtstreeks toegang te krijgen tot het netwerk van het doelwit.

De oorsprong en het arsenaal van Black Basta

Black Basta ontstond in 2022 als een zelfstandige groep na de ontbinding van de Conti-ransomwarebende. De groep vertrouwde aanvankelijk op het QakBot-botnet, maar is sindsdien gediversifieerd en integreert geavanceerde social engineeringtechnieken in haar activiteiten.

Hun malware-arsenaal omvat:

  • KNOTWRAP : Een geheugen-alleen-dropper geschreven in C/C++, die payloads in het geheugen kan uitvoeren.
  • KNOTROCK : Een .NET-hulpprogramma dat wordt gebruikt om de ransomware zelf te implementeren.
  • DAWNCRY : Nog een geheugen-alleen-dropper die ingebedde bronnen decodeert en uitvoert met behulp van een hardgecodeerde sleutel.
  • PORTYARD : Een tunneler die verbinding maakt met command-and-control (C2)-servers met behulp van een aangepast binair protocol.
  • COGSCAN : een op .NET gebaseerd verkenningshulpmiddel voor het opsommen van netwerkhosts.

Een hybride aanpak voor het afleveren van bedreigingen

De evolutie van Black Basta benadrukt hun overgang van afhankelijkheid van botnets naar een hybride model dat technische verfijning combineert met social engineering. Deze verschuiving onderstreept hun aanpassingsvermogen en vastberadenheid om doelnetwerken te infiltreren, wat een aanhoudende uitdaging vormt voor cybersecurityverdedigingen.

Waakzaam blijven tegen Black Basta

Om dergelijke bedreigingen tegen te gaan, moeten organisaties prioriteit geven aan cybersecuritybewustzijn, robuuste e-mailfilters implementeren en werknemers voortdurend informeren over de gevaren van ongevraagde communicatie en imitatietactieken. Effectieve maatregelen zijn essentieel om de risico's van deze zich voortdurend aanpassende bedreigingsgroep te beperken.

Bezig met laden...