Kuota e zbritjes me shumë licencë
Siguria kompjuterike Black Basta Ransomware shfrytëzon taktikat e reja të...

Black Basta Ransomware shfrytëzon taktikat e reja të inxhinierisë sociale

Nga MezoSiguria kompjuterike
Përkthe në:
Shqip

Grupi Black Basta Ransomware, i njohur për strategjitë e tij në zhvillim, ka miratuar metoda të reja të ofrimit të ngarkesës që nga tetori 2024. Krahas fushatave të tyre tradicionale ransomware, ata tani shpërndajnë kërcënime të tilla si Zbot dhe DarkGate, duke ilustruar një ndryshim të llogaritur në qasjen e tyre për të kompromentuar objektivat.

Inxhinieria Sociale takohet me bombardimin me email

Black Basta përdor bombardimin me email si një hap fillestar për të mposhtur objektivat. Kjo taktikë përfshin abonimin e emailit të viktimës në lista të shumta postare, duke e mbytur në mënyrë efektive komunikimin legjitim në një vërshim të padëshiruar. Pas bombardimit me email, sulmuesit u drejtohen drejtpërdrejt përdoruesve të prekur, duke shfrytëzuar konfuzionin në avantazhin e tyre.

Imitimi në platforma të njohura

Një taktikë e dukshme e vërejtur në gusht 2024 përfshin sulmuesit që maskohen si staf i IT ose personel mbështetës në platforma si Microsoft Teams. Duke u paraqitur si të brendshëm të besuar, ata bindin objektivat që të përfshihen në ndërveprim të mëtejshëm. Në disa raste, sulmuesit madje imitojnë personelin aktual të IT-së nga organizata e synuar, duke rritur besueshmërinë e tyre.

Përdorimi i mjeteve të qasjes në distancë për kompromis

Viktimat shpesh mashtrohen për të instaluar softuer legjitim të aksesit në distancë si AnyDesk, TeamViewer ose Quick Assist i Microsoft. Pasi të instalohen, këto mjete u japin sulmuesve kontrollin mbi sistemin. Ekipi i sigurisë i Microsoft-it gjurmon grupin kriminal kibernetik që shfrytëzon Quick Assist nën identifikuesin Storm-1811.

Predha të kundërta dhe kode kërcënuese QR

Përveç mjeteve të aksesit në distancë, sulmuesit përdorin klientin OpenSSH për të krijuar predha të kundërta, duke u mundësuar atyre të kontrollojnë sistemet e komprometuara. Një metodë tjetër përfshin dërgimin e kodeve QR me qëllim të keq përmes platformave të bisedës nën maskën e shtimit të një pajisjeje celulare të besuar. Këto kode QR ka të ngjarë të ridrejtojnë viktimat në infrastrukturë të dëmshme ose të vjedhin kredencialet e tyre.

Dorëzimi i ngarkesës: Vjedhja e kredencialeve dhe sulmet pasuese

Pasi të vendoset qasja, sulmuesit vendosin ngarkesa shtesë, të tilla si korrës të personalizuar të kredencialeve, Zbot ose DarkGate. Këto mjete u mundësojnë atyre të mbledhin kredencialet, të numërojnë mjedisin e viktimës dhe të krijojnë terrenin për sulme të mëtejshme. Vjedhja e skedarëve të konfigurimit VPN, e kombinuar me kredencialet e komprometuara, mund të lejojë gjithashtu sulmuesit të anashkalojnë vërtetimin me shumë faktorë dhe të hyjnë drejtpërdrejt në rrjetin e objektivit.

Origjina dhe Arsenali i Black Basta

Black Basta u shfaq si një grup i pavarur në 2022 pas shpërbërjes së bandës Conti ransomware. Fillimisht duke u mbështetur në botnet QakBot, grupi që atëherë është diversifikuar, duke integruar teknika të sofistikuara të inxhinierisë sociale në operacionet e tij.

Arsenali i tyre malware përfshin:

  • KNOTWRAP : Një pikatore vetëm me memorie e shkruar në C/C++, e aftë për të ekzekutuar ngarkesa në memorie.
  • KNOTROCK : Një mjet .NET i përdorur për të vendosur vetë ransomware.
  • DAWNCRY : Një tjetër pikatore vetëm me memorie që deshifron dhe ekzekuton burimet e integruara duke përdorur një çelës të koduar.
  • PORTYARD : Një tuneler që lidhet me serverët e komandës dhe kontrollit (C2) duke përdorur një protokoll binar të personalizuar.
  • COGSCAN : Një mjet zbulimi i bazuar në NET për numërimin e hosteve të rrjetit.

Një Qasje Hibride ndaj Shpërndarjes së Kërcënimeve

Evolucioni i Black Basta thekson kalimin e tyre nga mbështetja në botnet në një model hibrid që kombinon sofistikimin teknik me inxhinierinë sociale. Ky ndryshim nënvizon përshtatshmërinë dhe vendosmërinë e tyre për të depërtuar në rrjetet e synuara, duke paraqitur një sfidë të vazhdueshme për mbrojtjen e sigurisë kibernetike.

Qëndrimi vigjilent ndaj Black Basta

Për t'iu kundërvënë kërcënimeve të tilla, organizatat duhet t'i japin përparësi ndërgjegjësimit për sigurinë kibernetike, të zbatojnë filtra të fuqishëm të postës elektronike dhe të edukojnë vazhdimisht punonjësit për rreziqet e komunikimeve të pakërkuara dhe taktikave të imitimit. Masat efektive janë thelbësore në zbutjen e rreziqeve të paraqitura nga ky grup kërcënimi gjithnjë në përshtatje.

Po ngarkohet...