Rabattoffert för flera licenser
Datorsäkerhet Black Basta Ransomware utnyttjar nya sociala tekniker

Black Basta Ransomware utnyttjar nya sociala tekniker

Med Mezo år Datorsäkerhet
Översätt till:
Svenska

Black Basta Ransomware-gruppen, känd för sina utvecklande strategier, har antagit nya metoder för leverans av nyttolast från och med oktober 2024. Vid sidan av sina traditionella ransomware-kampanjer distribuerar de nu hot som Zbot och DarkGate, vilket illustrerar en beräknad förändring i deras inställning till att kompromissa med mål.

Social teknik möter e-postbombning

Black Basta använder e-postbombning som ett första steg för att överväldiga mål. Denna taktik innebär att man prenumererar på offrets e-post på många e-postlistor, vilket effektivt dränker legitim kommunikation i en flod av spam. Efter e-postbombningen når angriparna ut direkt till de drabbade användarna och utnyttjar förvirringen till deras fördel.

Imitation på bekanta plattformar

En anmärkningsvärd taktik som observerades i augusti 2024 involverar angripare som maskerar sig som IT-personal eller supportpersonal på plattformar som Microsoft Teams. Genom att posera som betrodda insiders övertygar de mål att engagera sig i ytterligare interaktion. I vissa fall utger sig angriparna till och med att vara faktisk IT-personal från den riktade organisationen, vilket förstärker deras trovärdighet.

Utnyttja verktyg för fjärråtkomst för kompromisser

Offren luras ofta att installera legitim fjärråtkomstprogramvara som AnyDesk, TeamViewer eller Microsofts Quick Assist. När de väl har installerats ger dessa verktyg angripare kontroll över systemet. Microsofts säkerhetsteam spårar den cyberkriminella gruppen som utnyttjar Quick Assist under identifieraren Storm-1811.

Omvända skal och hotfulla QR-koder

Förutom verktyg för fjärråtkomst använder angriparna OpenSSH-klienten för att skapa omvända skal, vilket gör det möjligt för dem att kontrollera komprometterade system. En annan metod innebär att skicka skadliga QR-koder via chattplattformar under sken av att lägga till en pålitlig mobil enhet. Dessa QR-koder omdirigerar troligen offer till skadlig infrastruktur eller stjäl deras referenser.

Leverans av nyttolast: Autentiseringsstöld och uppföljande attacker

När åtkomsten är etablerad distribuerar angriparna ytterligare nyttolaster, såsom anpassade referensskördare, Zbot eller DarkGate. Dessa verktyg gör det möjligt för dem att samla in referenser, räkna upp offrets miljö och sätta scenen för ytterligare attacker. Stöld av VPN-konfigurationsfiler, i kombination med komprometterade autentiseringsuppgifter, kan också göra det möjligt för angriparna att kringgå multifaktorautentisering och direkt komma åt målets nätverk.

The Origins and Arsenal of Black Basta

Black Basta dök upp som en fristående grupp 2022 efter upplösningen av Conti ransomware-gänget. Till en början förlitade sig gruppen på QakBot-botnätet, och gruppen har sedan dess diversifierat och integrerat sofistikerade sociala ingenjörstekniker i sin verksamhet.

Deras malwarearsenal inkluderar:

  • KNOTWRAP : En dropper endast för minne skriven i C/C++, som kan utföra nyttolaster i minnet.
  • KNOTROCK : Ett .NET-verktyg som används för att distribuera själva ransomwaren.
  • DAWNCRY : En annan dropper som endast innehåller minne som dekrypterar och kör inbäddade resurser med hjälp av en hårdkodad nyckel.
  • PORTYARD : En tunnlar som ansluter till kommando-och-kontroll-servrar (C2) med hjälp av ett anpassat binärt protokoll.
  • COGSCAN : Ett .NET-baserat spaningsverktyg för uppräkning av nätverksvärdar.

En hybrid metod för hotleverans

Black Bastas evolution belyser deras övergång från beroende av botnät till en hybridmodell som kombinerar teknisk sofistikering med social ingenjörskonst. Denna förändring understryker deras anpassningsförmåga och beslutsamhet att infiltrera målnätverk, vilket utgör en ihållande utmaning för cybersäkerhetsförsvar.

Håll dig vaksam mot Black Basta

För att motverka sådana hot måste organisationer prioritera cybersäkerhetsmedvetenhet, implementera robusta e-postfilter och kontinuerligt utbilda anställda om farorna med oönskad kommunikation och imitationstaktik. Effektiva åtgärder är avgörande för att minska riskerna som denna ständigt anpassade hotgrupp utgör.

Läser in...