Black Basta Ransomware izkorišča nove taktike socialnega inženiringa
Skupina Black Basta Ransomware, znana po svojih razvijajočih se strategijah, je od oktobra 2024 sprejela nove metode dostave koristnega tovora. Poleg svojih tradicionalnih kampanj z izsiljevalsko programsko opremo zdaj distribuirajo grožnje, kot sta Zbot in DarkGate, kar ponazarja preračunan premik v njihovem pristopu k tarčam ogrožanja.
Kazalo
Socialni inženiring se sreča z bombardiranjem po elektronski pošti
Black Basta uporablja elektronsko bombardiranje kot začetni korak za premagovanje tarč. Ta taktika vključuje prijavo žrtvine e-pošte na številne poštne sezname, s čimer se zakonita komunikacija dejansko utopi v poplavi neželene pošte. Po bombardiranju elektronske pošte se napadalci obrnejo neposredno na prizadete uporabnike in izkoristijo zmedo v svojo korist.
Lažno predstavljanje na znanih platformah
Pomembna taktika, opažena avgusta 2024, vključuje napadalce, ki se maskirajo v osebje IT ali podporno osebje na platformah, kot je Microsoft Teams. S tem, ko se predstavljajo kot zaupanja vredni insajderji, tarče prepričajo v nadaljnjo interakcijo. V nekaterih primerih se napadalci celo izdajo za dejansko osebje IT iz ciljne organizacije, s čimer povečajo svojo verodostojnost.
Izkoriščanje orodij za oddaljeni dostop za kompromis
Žrtve so pogosto zavedene, da namestijo zakonito programsko opremo za oddaljen dostop, kot je AnyDesk, TeamViewer ali Microsoftov Quick Assist. Ko so ta orodja nameščena, napadalcem omogočijo nadzor nad sistemom. Microsoftova varnostna ekipa sledi skupini kibernetskih kriminalcev, ki izkorišča Quick Assist pod identifikatorjem Storm-1811.
Reverse Shells in nevarne kode QR
Poleg orodij za oddaljeni dostop napadalci uporabljajo odjemalca OpenSSH za vzpostavitev povratnih lupin, kar jim omogoča nadzor ogroženih sistemov. Druga metoda vključuje pošiljanje zlonamernih kod QR prek platform za klepet pod pretvezo dodajanja zaupanja vredne mobilne naprave. Te kode QR žrtve verjetno preusmerijo na škodljivo infrastrukturo ali jim ukradejo poverilnice.
Dostava koristnega tovora: kraja poverilnic in nadaljnji napadi
Ko je dostop vzpostavljen, napadalci namestijo dodatne koristne obremenitve, kot so zbiralniki poverilnic po meri, Zbot ali DarkGate. Ta orodja jim omogočajo zbiranje poverilnic, popis žrtvinega okolja in pripravo temeljev za nadaljnje napade. Kraja konfiguracijskih datotek VPN v kombinaciji z ogroženimi poverilnicami lahko tudi omogoči napadalcem, da obidejo večfaktorsko avtentikacijo in neposredno dostopajo do ciljnega omrežja.
Izvor in arzenal Black Basta
Black Basta se je kot samostojna skupina pojavila leta 2022 po razpadu tolpe izsiljevalske programske opreme Conti. Skupina se je sprva zanašala na botnet QakBot, nato pa se je razširila in v svoje delovanje vključila prefinjene tehnike socialnega inženiringa.
Njihov arzenal zlonamerne programske opreme vključuje:
- KNOTWRAP : Dropper samo za pomnilnik, napisan v C/C++, zmožen izvajati koristne obremenitve v pomnilniku.
- KNOTROCK : pripomoček .NET, ki se uporablja za namestitev same izsiljevalske programske opreme.
- DAWNCRY : Še ena kapalka samo za pomnilnik, ki dešifrira in izvaja vdelane vire s pomočjo trdo kodiranega ključa.
- PORTYARD : Predor, ki se povezuje s strežniki za ukazovanje in nadzor (C2) z uporabo binarnega protokola po meri.
- COGSCAN : Orodje za izvidovanje, ki temelji na .NET, za oštevilčenje omrežnih gostiteljev.
Hibridni pristop k dostavi groženj
Evolucija Black Basta poudarja njihov prehod od zanašanja na botnete na hibridni model, ki združuje tehnično prefinjenost s socialnim inženiringom. Ta premik poudarja njihovo prilagodljivost in odločenost, da se infiltrirajo v ciljna omrežja, kar predstavlja vztrajen izziv obrambi kibernetske varnosti.
Ostanite pozorni na Black Basta
Za preprečevanje takšnih groženj morajo organizacije dati prednost ozaveščanju o kibernetski varnosti, implementirati robustne filtre za e-pošto in zaposlene nenehno izobraževati o nevarnostih nezaželene komunikacije in taktik lažnega predstavljanja. Učinkoviti ukrepi so bistveni za ublažitev tveganj, ki jih predstavlja ta nenehno prilagajajoča se skupina groženj.