Cotație de reducere pentru licențe multiple
Securitatea computerelor Black Basta Ransomware exploatează noi tactici de...

Black Basta Ransomware exploatează noi tactici de inginerie socială

Până în Mezo în Securitatea computerelor
Tradu in:
Română

Grupul Black Basta Ransomware, cunoscut pentru strategiile sale în evoluție, a adoptat noi metode de livrare a încărcăturii utile începând cu octombrie 2024. Pe lângă campaniile lor tradiționale de ransomware, acum distribuie amenințări precum Zbot și DarkGate, ilustrând o schimbare calculată în abordarea lor față de obiectivele de compromis.

Ingineria socială întâlnește bombardarea prin e-mail

Black Basta folosește bombardarea prin e-mail ca pas inițial pentru a copleși ținte. Această tactică implică abonarea e-mailului victimei la numeroase liste de corespondență, înecând efectiv comunicarea legitimă într-un val de spam. În urma atacului prin e-mail, atacatorii ajung direct la utilizatorii afectați, valorificând confuzia în avantajul lor.

Uzurparea identității pe platforme familiare

O tactică notabilă observată în august 2024 implică atacatorii mascați în personal IT sau personal de asistență pe platforme precum Microsoft Teams. Prezentându-se drept persoane din interior de încredere, ei convin ținte să se angajeze într-o interacțiune ulterioară. În unele cazuri, atacatorii se uzurpă chiar personalul IT real din organizația vizată, amplificându-le credibilitatea.

Utilizarea instrumentelor de acces la distanță pentru compromis

Victimele sunt adesea păcălite să instaleze software legitim de acces la distanță, cum ar fi AnyDesk, TeamViewer sau Quick Assist de la Microsoft. Odată instalate, aceste instrumente oferă atacatorilor controlul asupra sistemului. Echipa de securitate a Microsoft urmărește grupul de criminali cibernetici care exploatează Quick Assist sub identificatorul Storm-1811.

Reverse Shells și coduri QR amenințătoare

Pe lângă instrumentele de acces la distanță, atacatorii folosesc clientul OpenSSH pentru a stabili shell-uri inverse, permițându-le să controleze sistemele compromise. O altă metodă implică trimiterea de coduri QR rău intenționate prin platformele de chat sub pretextul adăugării unui dispozitiv mobil de încredere. Aceste coduri QR probabil redirecționează victimele către infrastructura dăunătoare sau le fură acreditările.

Livrare încărcătură utilă: furt de acreditări și atacuri ulterioare

Odată ce accesul este stabilit, atacatorii implementează încărcături suplimentare, cum ar fi colectoare de acreditări personalizate, Zbot sau DarkGate. Aceste instrumente le permit să adune acreditări, să enumere mediul victimei și să pregătească terenul pentru alte atacuri. Furtul fișierelor de configurare VPN, combinat cu acreditările compromise, poate, de asemenea, să permită atacatorilor să ocolească autentificarea cu mai mulți factori și să acceseze direct rețeaua țintei.

Originile și Arsenalul lui Black Basta

Black Basta a apărut ca un grup independent în 2022, după dizolvarea bandei de ransomware Conti. Bazându-se inițial pe botnet-ul QakBot, grupul s-a diversificat de atunci, integrând tehnici sofisticate de inginerie socială în operațiunile sale.

Arsenalul lor de programe malware include:

  • KNOTWRAP : Un dropper doar pentru memorie scris în C/C++, capabil să execute sarcini utile în memorie.
  • KNOTROCK : Un utilitar .NET folosit pentru a implementa ransomware-ul în sine.
  • DAWNCRY : Un alt dropper pentru memorie care decriptează și execută resurse încorporate folosind o cheie codificată.
  • PORTYARD : Un tuneler care se conectează la servere de comandă și control (C2) folosind un protocol binar personalizat.
  • COGSCAN : Un instrument de recunoaștere bazat pe .NET pentru enumerarea gazdelor de rețea.

O abordare hibridă a livrării amenințărilor

Evoluția lui Black Basta evidențiază tranziția lor de la dependența de rețele bot la un model hibrid care combină sofisticarea tehnică cu ingineria socială. Această schimbare subliniază adaptabilitatea și determinarea lor de a se infiltra în rețelele țintă, reprezentând o provocare persistentă pentru apărarea securității cibernetice.

Rămâi vigilent împotriva Black Basta

Pentru a contracara astfel de amenințări, organizațiile trebuie să acorde prioritate conștientizării securității cibernetice, să implementeze filtre robuste de e-mail și să educe continuu angajații cu privire la pericolele comunicărilor nesolicitate și ale tacticilor de uzurpare a identității. Măsurile eficiente sunt esențiale pentru atenuarea riscurilor prezentate de acest grup de amenințări în continuă adaptare.

Se încarcă...