Black Basta Ransomware wykorzystuje nowe taktyki inżynierii społecznej
Grupa Black Basta Ransomware, znana ze swoich ewoluujących strategii, przyjęła nowe metody dostarczania ładunku od października 2024 r. Oprócz tradycyjnych kampanii ransomware, obecnie dystrybuują zagrożenia takie jak Zbot i DarkGate, co ilustruje przemyślaną zmianę w ich podejściu do celów ataków.
Spis treści
Inżynieria społeczna spotyka bombardowanie e-mailowe
Black Basta stosuje bombardowanie e-mailowe jako pierwszy krok do przytłoczenia celów. Ta taktyka polega na subskrybowaniu e-maila ofiary na licznych listach mailingowych, skutecznie topiąc legalną komunikację w powodzi spamu. Po bombardowaniu e-mailowym atakujący kontaktują się bezpośrednio z dotkniętymi użytkownikami, wykorzystując zamieszanie na swoją korzyść.
Podszywanie się na znanych platformach
Godna uwagi taktyka zaobserwowana w sierpniu 2024 r. polega na tym, że atakujący podszywają się pod pracowników IT lub personel pomocniczy na platformach takich jak Microsoft Teams. Podszywając się pod zaufanych insiderów, przekonują cele do dalszej interakcji. W niektórych przypadkach atakujący podszywają się nawet pod prawdziwych pracowników IT z atakowanej organizacji, zwiększając swoją wiarygodność.
Wykorzystywanie narzędzi zdalnego dostępu do kompromitacji
Ofiary są często oszukiwane i instalują legalne oprogramowanie do zdalnego dostępu, takie jak AnyDesk, TeamViewer lub Microsoft Quick Assist. Po zainstalowaniu narzędzia te przyznają atakującym kontrolę nad systemem. Zespół ds. bezpieczeństwa Microsoftu śledzi grupę cyberprzestępców wykorzystującą Quick Assist pod identyfikatorem Storm-1811.
Odwrócone pociski i groźne kody QR
Oprócz narzędzi zdalnego dostępu atakujący używają klienta OpenSSH do ustanawiania odwrotnych powłok, co umożliwia im kontrolowanie zagrożonych systemów. Inna metoda polega na wysyłaniu złośliwych kodów QR za pośrednictwem platform czatu pod pozorem dodania zaufanego urządzenia mobilnego. Te kody QR prawdopodobnie przekierowują ofiary do szkodliwej infrastruktury lub kradną ich dane uwierzytelniające.
Dostarczanie ładunku: kradzież danych uwierzytelniających i ataki następcze
Po nawiązaniu dostępu atakujący wdrażają dodatkowe ładunki, takie jak niestandardowe narzędzia do zbierania poświadczeń, Zbot lub DarkGate. Narzędzia te umożliwiają im zbieranie poświadczeń, enumerację środowiska ofiary i przygotowanie gruntu pod dalsze ataki. Kradzież plików konfiguracji VPN w połączeniu z naruszonymi poświadczeniami może również umożliwić atakującym ominięcie uwierzytelniania wieloskładnikowego i bezpośredni dostęp do sieci celu.
Początki i arsenał Black Basta
Black Basta wyłoniła się jako samodzielna grupa w 2022 r. po rozwiązaniu gangu ransomware Conti. Początkowo polegając na botnecie QakBot, grupa od tego czasu zdywersyfikowała się, integrując wyrafinowane techniki inżynierii społecznej ze swoimi działaniami.
Ich arsenał złośliwego oprogramowania obejmuje:
- KNOTWRAP : Dropper działający wyłącznie w pamięci, napisany w języku C/C++, zdolny do wykonywania ładunków w pamięci.
- KNOTROCK : Narzędzie .NET służące do wdrażania samego oprogramowania ransomware.
- DAWNCRY : Kolejny dropper działający wyłącznie w pamięci, który odszyfrowuje i uruchamia osadzone zasoby przy użyciu zakodowanego na stałe klucza.
- PORTYARD : Tunelizator łączący się z serwerami dowodzenia i kontroli (C2) za pomocą niestandardowego protokołu binarnego.
- COGSCAN : Narzędzie rozpoznawcze oparte na technologii .NET służące do enumeracji hostów sieciowych.
Hybrydowe podejście do dostarczania zagrożeń
Ewolucja Black Basta podkreśla ich przejście od polegania na botnetach do hybrydowego modelu, który łączy wyrafinowanie techniczne z inżynierią społeczną. Ta zmiana podkreśla ich zdolność adaptacji i determinację do infiltracji sieci docelowych, co stanowi stałe wyzwanie dla obrony cyberbezpieczeństwa.
Zachowaj czujność wobec Black Basta
Aby przeciwdziałać takim zagrożeniom, organizacje muszą nadać priorytet świadomości cyberbezpieczeństwa, wdrożyć solidne filtry poczty e-mail i stale edukować pracowników na temat zagrożeń związanych z niechcianą komunikacją i taktykami podszywania się. Skuteczne środki są niezbędne do łagodzenia ryzyka stwarzanego przez tę stale dostosowującą się grupę zagrożeń.