Black Basta Ransomware ใช้กลวิธีทางวิศวกรรมสังคมรูปแบบใหม่

กลุ่ม Black Basta Ransomware ซึ่งเป็นที่รู้จักจากกลยุทธ์ที่พัฒนาอย่างต่อเนื่อง ได้นำวิธีการส่งมอบเพย์โหลดแบบใหม่มาใช้ตั้งแต่เดือนตุลาคม 2024 นอกเหนือไปจากแคมเปญแรนซัมแวร์แบบเดิมแล้ว ขณะนี้พวกเขายังแจกจ่ายภัยคุกคามเช่น Zbot และ DarkGate ซึ่งแสดงให้เห็นถึงการเปลี่ยนแปลงที่คำนวณมาแล้วในแนวทางการโจมตีเป้าหมาย

วิศวกรรมสังคมพบกับการโจมตีด้วยอีเมลจำนวนมาก

Black Basta ใช้การโจมตีทางอีเมลเป็นขั้นตอนเริ่มต้นเพื่อโจมตีเป้าหมาย กลวิธีนี้เกี่ยวข้องกับการสมัครรับอีเมลของเหยื่อในรายชื่อส่งจดหมายจำนวนมาก ซึ่งส่งผลให้การสื่อสารที่ถูกต้องถูกกลืนหายไปในสแปมจำนวนมาก หลังจากการโจมตีทางอีเมล ผู้โจมตีจะติดต่อผู้ใช้ที่ได้รับผลกระทบโดยตรงโดยใช้ความสับสนให้เป็นประโยชน์

การแอบอ้างตัวบนแพลตฟอร์มที่คุ้นเคย

กลยุทธ์ที่น่าสนใจอย่างหนึ่งที่สังเกตเห็นในเดือนสิงหาคม 2024 เกี่ยวข้องกับผู้โจมตีที่ปลอมตัวเป็นเจ้าหน้าที่ไอทีหรือเจ้าหน้าที่ฝ่ายสนับสนุนบนแพลตฟอร์มต่างๆ เช่น Microsoft Teams โดยการแอบอ้างตัวเป็นผู้ภายในที่เชื่อถือได้ พวกเขาจึงสามารถโน้มน้าวเป้าหมายให้มีส่วนร่วมในการโต้ตอบเพิ่มเติมได้ ในบางกรณี ผู้โจมตียังปลอมตัวเป็นเจ้าหน้าที่ไอทีจริงจากองค์กรที่เป็นเป้าหมาย เพื่อเพิ่มความน่าเชื่อถือให้กับพวกเขา

การใช้ประโยชน์จากเครื่องมือการเข้าถึงระยะไกลเพื่อการประนีประนอม

เหยื่อมักถูกหลอกให้ติดตั้งซอฟต์แวร์การเข้าถึงระยะไกลที่ถูกต้องตามกฎหมาย เช่น AnyDesk, TeamViewer หรือ Quick Assist ของ Microsoft เมื่อติดตั้งแล้ว เครื่องมือเหล่านี้จะทำให้ผู้โจมตีสามารถควบคุมระบบได้ ทีมรักษาความปลอดภัยของ Microsoft ติดตามกลุ่มอาชญากรทางไซเบอร์ที่ใช้ประโยชน์จาก Quick Assist โดยใช้รหัส Storm-1811

รีเวิร์สเชลล์และคุกคามรหัส QR

นอกจากเครื่องมือการเข้าถึงระยะไกลแล้ว ผู้โจมตียังใช้ไคลเอนต์ OpenSSH เพื่อสร้างเชลล์ย้อนกลับ ซึ่งทำให้สามารถควบคุมระบบที่ถูกบุกรุกได้ อีกวิธีหนึ่งคือการส่งรหัส QR ที่เป็นอันตรายผ่านแพลตฟอร์มแชทโดยอ้างว่าเป็นการเพิ่มอุปกรณ์มือถือที่เชื่อถือได้ รหัส QR เหล่านี้อาจเปลี่ยนเส้นทางเหยื่อไปยังโครงสร้างพื้นฐานที่เป็นอันตรายหรือขโมยข้อมูลประจำตัวของพวกเขา

การจัดส่งเพย์โหลด: การขโมยข้อมูลประจำตัวและการโจมตีตามมา

เมื่อสร้างการเข้าถึงได้แล้ว ผู้โจมตีจะใช้เพย์โหลดเพิ่มเติม เช่น ตัวรวบรวมข้อมูลประจำตัวแบบกำหนดเอง Zbot หรือ DarkGate เครื่องมือเหล่านี้ช่วยให้รวบรวมข้อมูลประจำตัว ระบุสภาพแวดล้อมของเหยื่อ และเตรียมการสำหรับการโจมตีเพิ่มเติม การขโมยไฟล์กำหนดค่า VPN ร่วมกับข้อมูลประจำตัวที่ถูกบุกรุกอาจทำให้ผู้โจมตีสามารถหลีกเลี่ยงการพิสูจน์ตัวตนแบบหลายปัจจัยและเข้าถึงเครือข่ายของเป้าหมายได้โดยตรง

ต้นกำเนิดและคลังอาวุธของแบล็คบาสต้า

Black Basta ก่อตั้งขึ้นเป็นกลุ่มอิสระในปี 2022 หลังจากกลุ่มแรนซัมแวร์ Conti ถูกยุบเลิก โดยในช่วงแรก กลุ่มนี้ใช้บอตเน็ต QakBot เป็นฐานในการก่ออาชญากรรม จากนั้นมา กลุ่มก็ได้ขยายขอบเขตการทำงานโดยผสานเทคนิคทางวิศวกรรมสังคมที่ซับซ้อนเข้ากับการดำเนินการ

คลังอาวุธมัลแวร์ของพวกเขามีดังนี้:

• KNOTWRAP : ดร็อปเปอร์ที่ใช้เฉพาะหน่วยความจำ เขียนด้วย C/C++ ซึ่งสามารถดำเนินการเพย์โหลดในหน่วยความจำได้
• KNOTROCK : ยูทิลิตี้ .NET ที่ใช้ในการติดตั้งแรนซัมแวร์
• DAWNCRY : โปรแกรมดรอปเปอร์ที่ใช้หน่วยความจำเพียงอย่างเดียวอีกตัวหนึ่งที่ถอดรหัสและดำเนินการทรัพยากรที่ฝังไว้โดยใช้คีย์แบบฮาร์ดโค้ด
• PORTYARD : เครื่องสร้างอุโมงค์ที่เชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและควบคุม (C2) โดยใช้โปรโตคอลไบนารีแบบกำหนดเอง
• COGSCAN : เครื่องมือสำรวจที่ใช้พื้นฐาน .NET สำหรับการแจงนับโฮสต์เครือข่าย

แนวทางไฮบริดในการส่งมอบภัยคุกคาม

วิวัฒนาการของ Black Basta เน้นให้เห็นถึงการเปลี่ยนแปลงจากการพึ่งพาบอตเน็ตไปสู่รูปแบบไฮบริดที่ผสมผสานความซับซ้อนทางเทคนิคเข้ากับวิศวกรรมทางสังคม การเปลี่ยนแปลงนี้เน้นย้ำถึงความสามารถในการปรับตัวและความมุ่งมั่นในการแทรกซึมเครือข่ายเป้าหมาย ซึ่งเป็นความท้าทายอย่างต่อเนื่องต่อการป้องกันความปลอดภัยทางไซเบอร์

การเฝ้าระวังภัยจากแบล็กบาสตา

เพื่อรับมือกับภัยคุกคามดังกล่าว องค์กรต่างๆ จะต้องให้ความสำคัญกับการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ ใช้ตัวกรองอีเมลที่มีประสิทธิภาพ และให้ความรู้แก่พนักงานอย่างต่อเนื่องเกี่ยวกับอันตรายจากการสื่อสารที่ไม่พึงประสงค์และกลวิธีแอบอ้างตัวตน มาตรการที่มีประสิทธิภาพมีความจำเป็นในการลดความเสี่ยงที่เกิดจากกลุ่มภัยคุกคามที่ปรับตัวอยู่เสมอ