Pinagsasamantalahan ng Black Basta Ransomware ang Bagong Social Engineering Tactics
Ang grupong Black Basta Ransomware, na kilala sa mga umuunlad na diskarte nito, ay nagpatibay ng mga bagong paraan ng paghahatid ng payload noong Oktubre 2024. Kasabay ng kanilang mga tradisyonal na ransomware campaign, namamahagi na sila ngayon ng mga banta gaya ng Zbot at DarkGate, na naglalarawan ng isang kalkuladong pagbabago sa kanilang diskarte sa pagkompromiso sa mga target.
Talaan ng mga Nilalaman
Social Engineering Meet Email Bombing
Gumagamit ang Black Basta ng email bombing bilang isang paunang hakbang upang madaig ang mga target. Ang taktika na ito ay nagsasangkot ng pag-subscribe sa email ng biktima sa maraming mailing list, na epektibong nilulunod ang lehitimong komunikasyon sa baha ng spam. Kasunod ng pambobomba sa email, direktang nakikipag-ugnayan ang mga umaatake sa mga apektadong user, na ginagamit ang kalituhan sa kanilang kalamangan.
Pagpapanggap sa Mga Pamilyar na Platform
Ang isang kapansin-pansing taktika na naobserbahan noong Agosto 2024 ay kinabibilangan ng mga umaatake na nagpapanggap bilang IT staff o support personnel sa mga platform tulad ng Microsoft Teams. Sa pamamagitan ng pagpapanggap bilang mga pinagkakatiwalaang tagaloob, nakumbinsi nila ang mga target na makisali sa karagdagang pakikipag-ugnayan. Sa ilang mga kaso, ang mga umaatake ay nagpapanggap pa nga bilang aktwal na kawani ng IT mula sa target na organisasyon, na nagpapalaki sa kanilang kredibilidad.
Paggamit ng Remote Access Tools para sa Compromise
Kadalasang dinadaya ang mga biktima sa pag-install ng lehitimong remote access software gaya ng AnyDesk, TeamViewer, o Quick Assist ng Microsoft. Kapag na-install na, binibigyan ng mga tool na ito ang mga umaatake ng kontrol sa system. Sinusubaybayan ng security team ng Microsoft ang cybercriminal group na nagsasamantala sa Quick Assist sa ilalim ng identifier na Storm-1811.
Baliktarin ang mga Shell at Mga Mapanganib na QR Code
Bilang karagdagan sa mga tool sa malayuang pag-access, ginagamit ng mga umaatake ang OpenSSH client upang magtatag ng mga reverse shell, na nagbibigay-daan sa kanila na kontrolin ang mga nakompromisong system. Ang isa pang paraan ay nagsasangkot ng pagpapadala ng mga nakakahamak na QR code sa pamamagitan ng mga chat platform sa ilalim ng pagkukunwari ng pagdaragdag ng pinagkakatiwalaang mobile device. Ang mga QR code na ito ay malamang na nagre-redirect ng mga biktima sa mapaminsalang imprastraktura o nakawin ang kanilang mga kredensyal.
Paghahatid ng Payload: Pagnanakaw ng Kredensyal at Mga Sumusunod na Pag-atake
Kapag naitatag na ang pag-access, magde-deploy ang mga attacker ng mga karagdagang payload, gaya ng mga custom na taga-ani ng kredensyal, Zbot, o DarkGate. Ang mga tool na ito ay nagbibigay-daan sa kanila na mangalap ng mga kredensyal, magbilang sa kapaligiran ng biktima, at magtakda ng yugto para sa mga karagdagang pag-atake. Ang pagnanakaw ng mga file ng pagsasaayos ng VPN, na sinamahan ng mga nakompromisong kredensyal, ay maaari ring payagan ang mga umaatake na i-bypass ang multi-factor na pagpapatotoo at direktang ma-access ang network ng target.
The Origins and Arsenal of Black Basta
Lumitaw ang Black Basta bilang isang standalone na grupo noong 2022 pagkatapos ng pagbuwag ng Conti ransomware gang. Sa simula ay umaasa sa QakBot botnet, ang grupo ay mula noon ay nag-iba-iba, na nagsasama ng mga sopistikadong diskarte sa social engineering sa mga operasyon nito.
Kasama sa kanilang malware arsenal ang:
- KNOTWRAP : Isang memory-only dropper na nakasulat sa C/C++, na may kakayahang magsagawa ng mga payload sa memorya.
- KNOTROCK : Isang .NET utility na ginamit upang i-deploy ang ransomware mismo.
- DAWNCRY : Isa pang memory-only dropper na nagde-decrypt at nagpapatupad ng mga naka-embed na mapagkukunan gamit ang isang hard-coded na key.
- PORTYARD : Isang tunneler na kumokonekta sa command-and-control (C2) server gamit ang custom na binary protocol.
- COGSCAN : Isang .NET-based na reconnaissance tool para sa network host enumeration.
Isang Hybrid na Diskarte sa Paghahatid ng Banta
Itinatampok ng ebolusyon ng Black Basta ang kanilang paglipat mula sa pag-asa sa mga botnet patungo sa isang hybrid na modelo na pinagsasama ang teknikal na pagiging sopistikado sa social engineering. Binibigyang-diin ng pagbabagong ito ang kanilang kakayahang umangkop at determinasyon na makalusot sa mga target na network, na nagdudulot ng patuloy na hamon sa mga panlaban sa cybersecurity.
Pananatiling Vigilant laban sa Black Basta
Upang malabanan ang mga naturang pagbabanta, dapat unahin ng mga organisasyon ang kamalayan sa cybersecurity, magpatupad ng matatag na mga filter ng email, at patuloy na turuan ang mga empleyado tungkol sa mga panganib ng mga hindi hinihinging komunikasyon at mga taktika sa pagpapanggap. Ang mga mabisang hakbang ay mahalaga sa pagpapagaan sa mga panganib na dulot ng patuloy na umaangkop na pangkat ng pagbabanta na ito.