Cotação de desconto para licenças múltiplas
Segurança do Computador O Black Basta Ransomware Explora Novas Táticas de...

O Black Basta Ransomware Explora Novas Táticas de Engenharia Social

Por Mezo em Segurança do Computador
Traduzir Para:
Português

O grupo Black Basta Ransomware, conhecido por suas estratégias em evolução, adotou novos métodos de entrega de carga útil a partir de outubro de 2024. Junto com suas campanhas tradicionais de ransomware, eles agora distribuem ameaças como Zbot e DarkGate, ilustrando uma mudança calculada em sua abordagem para comprometer alvos.

Engenharia Social Encontra Bombardeio de E-Mail

O Black Basta emprega o bombardeio de e-mail como um passo inicial para sobrecarregar os alvos. Essa tática envolve inscrever o e-mail da vítima em várias listas de e-mail, afogando efetivamente a comunicação legítima em uma enxurrada de spam. Após o bombardeio de e-mail, os invasores alcançam diretamente os usuários afetados, alavancando a confusão a seu favor.

Representação em Plataformas Familiares

Uma tática notável observada em agosto de 2024 envolve invasores se passando por equipe de TI ou equipe de suporte em plataformas como o Microsoft Teams. Ao se passarem por insiders confiáveis, eles convencem os alvos a se envolverem em mais interações. Em alguns casos, os invasores até mesmo se passam por funcionários de TI reais da organização visada, amplificando sua credibilidade.

Aproveitando Ferramentas de Acesso Remoto para Comprometimento

As vítimas são frequentemente enganadas para instalar softwares legítimos de acesso remoto, como AnyDesk, TeamViewer ou Quick Assist da Microsoft. Uma vez instaladas, essas ferramentas concedem aos invasores controle sobre o sistema. A equipe de segurança da Microsoft rastreia o grupo de criminosos cibernéticos que explora o Quick Assist sob o identificador Storm-1811.

Shells Invertidas e Códigos QR Ameaçadores

Além das ferramentas de acesso remoto, os invasores usam o cliente OpenSSH para estabelecer shells reversos, permitindo que eles controlem sistemas comprometidos. Outro método envolve o envio de códigos QR maliciosos por meio de plataformas de bate-papo sob o pretexto de adicionar um dispositivo móvel confiável. Esses códigos QR provavelmente redirecionam as vítimas para infraestrutura prejudicial ou roubam suas credenciais.

Entrega de Carga Útil: Roubo de Credenciais e Ataques Subsequentes

Uma vez que o acesso é estabelecido, os invasores implantam payloads adicionais, como coletores de credenciais personalizados, Zbot ou DarkGate. Essas ferramentas permitem que eles coletem credenciais, enumerem o ambiente da vítima e preparem o cenário para novos ataques. O roubo de arquivos de configuração de VPN, combinado com credenciais comprometidas, também pode permitir que os invasores ignorem a autenticação multifator e acessem diretamente a rede do alvo.

As Origens e o Arsenal do Black Basta

Black Basta surgiu como um grupo independente em 2022 após a dissolução da gangue de ransomware Conti. Inicialmente contando com a botnet QakBot, o grupo se diversificou desde então, integrando técnicas sofisticadas de engenharia social em suas operações.

Seu arsenal de malware inclui:

  • KNOTWRAP : Um dropper somente de memória escrito em C/C++, capaz de executar cargas úteis na memória.
  • KNOTROCK : Um utilitário .NET usado para implantar o próprio ransomware.
  • DAWNCRY : Outro dropper somente de memória que descriptografa e executa recursos incorporados usando uma chave codificada.
  • PORTYARD : Um tunelador que se conecta a servidores de comando e controle (C2) usando um protocolo binário personalizado.
  • COGSCAN : Uma ferramenta de reconhecimento baseada em .NET para enumeração de hosts de rede.

Uma Abordagem Híbrida para a Entrega de Ameaças

A evolução da Black Basta destaca sua transição da dependência de botnets para um modelo híbrido que combina sofisticação técnica com engenharia social. Essa mudança ressalta sua adaptabilidade e determinação para se infiltrar em redes-alvo, representando um desafio persistente para as defesas de segurança cibernética.

Permanecendo Vigilante contra o Black Basta

Para neutralizar tais ameaças, as organizações devem priorizar a conscientização sobre segurança cibernética, implementar filtros de e-mail robustos e educar continuamente os funcionários sobre os perigos de comunicações não solicitadas e táticas de representação falsa. Medidas eficazes são essenciais para mitigar os riscos apresentados por esse grupo de ameaças em constante adaptação.

Carregando...