Black Basta Ransomware využíva novú taktiku sociálneho inžinierstva
Skupina Black Basta Ransomware, známa svojimi vyvíjajúcimi sa stratégiami, prijala od októbra 2024 nové metódy doručovania užitočného obsahu. Popri svojich tradičných kampaniach s ransomvérom teraz distribuuje hrozby ako Zbot a DarkGate, čo ilustruje vypočítaný posun v ich prístupe ku kompromisným cieľom.
Obsah
Sociálne inžinierstvo sa stretáva s e-mailovým bombardovaním
Black Basta využíva e-mailové bombardovanie ako prvý krok k prekonaniu cieľov. Táto taktika zahŕňa prihlásenie e-mailu obete do mnohých zoznamov adries, čím sa legitímna komunikácia utopí v záplave spamu. Po e-mailovom bombovom útoku útočníci oslovia priamo postihnutých používateľov, čím využívajú zmätok vo svoj prospech.
Odcudzenie identity na známych platformách
Pozoruhodná taktika pozorovaná v auguste 2024 zahŕňa útočníkov, ktorí sa maskujú ako IT personál alebo podporný personál na platformách ako Microsoft Teams. Tým, že sa vydávajú za dôveryhodných insiderov, presvedčia ciele, aby sa zapojili do ďalšej interakcie. V niektorých prípadoch sa útočníci dokonca vydávajú za skutočných IT pracovníkov z cieľovej organizácie, čím zvyšujú ich dôveryhodnosť.
Využite nástroje vzdialeného prístupu na kompromisy
Obete sú často oklamané, aby si nainštalovali legitímny softvér na vzdialený prístup, ako je AnyDesk, TeamViewer alebo Quick Assist od Microsoftu. Po nainštalovaní tieto nástroje poskytujú útočníkom kontrolu nad systémom. Bezpečnostný tím Microsoftu sleduje kyberzločineckú skupinu využívajúcu Quick Assist pod identifikátorom Storm-1811.
Reverzné škrupiny a hrozivé QR kódy
Okrem nástrojov vzdialeného prístupu útočníci používajú klienta OpenSSH na vytvorenie reverzných shellov, ktoré im umožňujú kontrolovať napadnuté systémy. Ďalšia metóda zahŕňa odosielanie škodlivých QR kódov cez chatovacie platformy pod zámienkou pridania dôveryhodného mobilného zariadenia. Tieto QR kódy pravdepodobne presmerujú obete na škodlivú infraštruktúru alebo ukradnú ich poverenia.
Doručenie užitočného zaťaženia: Krádež poverení a následné útoky
Po zriadení prístupu útočníci nasadia ďalšie užitočné zaťaženie, ako napríklad vlastné zberače poverení, Zbot alebo DarkGate. Tieto nástroje im umožňujú zhromaždiť poverenia, vymenovať prostredie obete a pripraviť pôdu pre ďalšie útoky. Krádež konfiguračných súborov VPN v kombinácii s kompromitovanými prihlasovacími údajmi môže útočníkom tiež umožniť obísť viacfaktorovú autentifikáciu a priamy prístup k sieti cieľa.
Pôvod a arzenál Black Basta
Black Basta sa objavila ako samostatná skupina v roku 2022 po rozpustení ransomvérového gangu Conti. Skupina, ktorá sa pôvodne spoliehala na botnet QakBot, sa odvtedy diverzifikovala a do svojich operácií integrovala sofistikované techniky sociálneho inžinierstva.
Ich malvérový arzenál zahŕňa:
- KNOTWRAP : Dropper iba pre pamäť napísaný v C/C++, schopný spúšťať užitočné zaťaženia v pamäti.
- KNOTROCK : Nástroj .NET používaný na nasadenie samotného ransomvéru.
- DAWNCRY : Ďalší kvapkadlo len pre pamäť, ktoré dešifruje a spúšťa vložené zdroje pomocou pevne zakódovaného kľúča.
- PORTYARD : Tunelový nástroj, ktorý sa pripája k serverom príkazového a riadiaceho systému (C2) pomocou vlastného binárneho protokolu.
- COGSCAN : Prieskumný nástroj založený na .NET pre enumeráciu sieťových hostiteľov.
Hybridný prístup k hrozbe doručenia
Evolúcia Black Basta zdôrazňuje ich prechod od spoliehania sa na botnety na hybridný model, ktorý kombinuje technickú vyspelosť so sociálnym inžinierstvom. Tento posun podčiarkuje ich prispôsobivosť a odhodlanie infiltrovať cieľové siete, čo predstavuje pretrvávajúcu výzvu pre obranu v oblasti kybernetickej bezpečnosti.
Zostaňte ostražití proti Black Basta
Aby organizácie čelili takýmto hrozbám, musia uprednostňovať povedomie o kybernetickej bezpečnosti, implementovať robustné e-mailové filtre a neustále vzdelávať zamestnancov o nebezpečenstvách nevyžiadanej komunikácie a taktík vydávania sa za identitu. Účinné opatrenia sú nevyhnutné na zmiernenie rizík, ktoré predstavuje táto neustále sa prispôsobujúca skupina hrozieb.