Black Basta Ransomware использует новые тактики социальной инженерии
Группа вредоносных программ-вымогателей Black Basta, известная своими эволюционирующими стратегиями, с октября 2024 года внедрила новые методы доставки вредоносного кода. Наряду с традиционными кампаниями по распространению программ-вымогателей они теперь распространяют такие угрозы, как Zbot и DarkGate, что демонстрирует продуманный сдвиг в подходе к компрометации целей.
Оглавление
Социальная инженерия и бомбардировка электронной почты
Black Basta использует email-бомбардировку в качестве первого шага для подавления целей. Эта тактика включает подписку электронной почты жертвы на многочисленные списки рассылки, эффективно топив легитимную коммуникацию в потоке спама. После email-бомбардировки злоумышленники напрямую связываются с пострадавшими пользователями, используя путаницу в своих интересах.
Выдача себя за другое лицо на знакомых платформах
Примечательная тактика, наблюдавшаяся в августе 2024 года, заключается в том, что злоумышленники маскируются под ИТ-персонал или персонал поддержки на таких платформах, как Microsoft Teams. Выдавая себя за доверенных инсайдеров, они убеждают цели участвовать в дальнейшем взаимодействии. В некоторых случаях злоумышленники даже выдают себя за настоящих ИТ-персонала целевой организации, усиливая свою репутацию.
Использование инструментов удаленного доступа для взлома
Жертвы часто обманываются, заставляя их устанавливать легальное программное обеспечение для удаленного доступа, такое как AnyDesk, TeamViewer или Quick Assist от Microsoft. После установки эти инструменты предоставляют злоумышленникам контроль над системой. Команда безопасности Microsoft отслеживает киберпреступную группу, эксплуатирующую Quick Assist под идентификатором Storm-1811.
Обратные оболочки и угрожающие QR-коды
Помимо инструментов удаленного доступа, злоумышленники используют клиент OpenSSH для установки обратных оболочек, что позволяет им контролировать скомпрометированные системы. Другой метод заключается в отправке вредоносных QR-кодов через чат-платформы под видом добавления доверенного мобильного устройства. Эти QR-коды, вероятно, перенаправляют жертв на вредоносную инфраструктуру или крадут их учетные данные.
Доставка полезной нагрузки: кража учетных данных и последующие атаки
После установления доступа злоумышленники развертывают дополнительные полезные нагрузки, такие как специальные сборщики учетных данных, Zbot или DarkGate. Эти инструменты позволяют им собирать учетные данные, перечислять среду жертвы и подготавливать почву для дальнейших атак. Кража файлов конфигурации VPN в сочетании со скомпрометированными учетными данными также может позволить злоумышленникам обойти многофакторную аутентификацию и напрямую получить доступ к сети цели.
Истоки и арсенал Черного Басты
Black Basta появилась как самостоятельная группа в 2022 году после роспуска банды вымогателей Conti. Первоначально полагаясь на ботнет QakBot, группа с тех пор диверсифицировала свою деятельность, интегрировав в свои операции сложные методы социальной инженерии.
В их арсенал вредоносного ПО входят:
- KNOTWRAP : работающий только в памяти дроппер, написанный на C/C++, способный выполнять полезные нагрузки в памяти.
- KNOTROCK : утилита .NET, используемая для развертывания самой программы-вымогателя.
- DAWNCRY : Еще один дроппер, работающий только с памятью, который расшифровывает и выполняет встроенные ресурсы с использованием жестко закодированного ключа.
- PORTYARD : туннелер, который подключается к серверам управления и контроля (C2) с использованием специального двоичного протокола.
- COGSCAN : разведывательный инструмент на базе .NET для подсчета сетевых хостов.
Гибридный подход к доставке угроз
Эволюция Black Basta подчеркивает их переход от опоры на ботнеты к гибридной модели, которая сочетает техническую сложность с социальной инженерией. Этот сдвиг подчеркивает их адаптивность и решимость проникать в целевые сети, создавая постоянный вызов для защиты кибербезопасности.
Сохраняя бдительность в отношении Черного Басты
Чтобы противостоять таким угрозам, организации должны уделять первостепенное внимание осведомленности о кибербезопасности, внедрять надежные фильтры электронной почты и постоянно информировать сотрудников об опасностях несанкционированных сообщений и тактике маскировки. Эффективные меры имеют важное значение для снижения рисков, создаваемых этой постоянно адаптирующейся группой угроз.