Black Basta Fidye Yazılımı Yeni Sosyal Mühendislik Taktiklerini Kullanıyor
Gelişen stratejileriyle bilinen Black Basta Ransomware grubu, Ekim 2024 itibarıyla yeni yük dağıtım yöntemleri benimsedi. Geleneksel fidye yazılımı kampanyalarının yanı sıra artık Zbot ve DarkGate gibi tehditleri de dağıtıyorlar ve bu da hedefleri tehlikeye atma yaklaşımında hesaplanmış bir değişimi gösteriyor.
İçindekiler
Sosyal Mühendislik E-posta Bombardımanıyla Buluşuyor
Black Basta, hedefleri alt etmek için ilk adım olarak e-posta bombalaması kullanır. Bu taktik, kurbanın e-postasını çok sayıda e-posta listesine abone etmeyi ve meşru iletişimi etkili bir şekilde bir spam selinde boğmayı içerir. E-posta bombalamasının ardından saldırganlar doğrudan etkilenen kullanıcılara ulaşır ve karışıklığı kendi avantajlarına kullanır.
Tanıdık Platformlarda Kimlik Taklidi
Ağustos 2024'te gözlemlenen dikkat çekici bir taktik, saldırganların Microsoft Teams gibi platformlarda BT personeli veya destek personeli gibi davranmasını içeriyor. Güvenilir içeriden kişiler gibi davranarak hedefleri daha fazla etkileşime girmeye ikna ediyorlar. Bazı durumlarda saldırganlar hedeflenen kuruluştan gerçek BT personelini bile taklit ederek güvenilirliklerini artırıyorlar.
Uzaktan Erişim Araçlarını Uzlaşma İçin Kullanma
Mağdurlar genellikle AnyDesk, TeamViewer veya Microsoft'un Quick Assist gibi meşru uzaktan erişim yazılımlarını yüklemeye kandırılırlar. Bu araçlar yüklendikten sonra saldırganlara sistem üzerinde kontrol sağlar. Microsoft'un güvenlik ekibi, Quick Assist'i kullanan siber suçlu grubunu Storm-1811 tanımlayıcısı altında izler.
Ters Kabuklar ve Tehdit Edici QR Kodları
Uzaktan erişim araçlarına ek olarak, saldırganlar ters kabuklar kurmak için OpenSSH istemcisini kullanır ve bu da tehlikeye atılmış sistemleri kontrol etmelerini sağlar. Başka bir yöntem, güvenilir bir mobil cihaz ekleme kisvesi altında sohbet platformları aracılığıyla kötü amaçlı QR kodları göndermeyi içerir. Bu QR kodları muhtemelen kurbanları zararlı altyapıya yönlendirir veya kimlik bilgilerini çalar.
Yük Teslimatı: Kimlik Hırsızlığı ve Takip Eden Saldırılar
Erişim sağlandıktan sonra saldırganlar, özel kimlik bilgisi toplayıcıları, Zbot veya DarkGate gibi ek yükler dağıtır. Bu araçlar, kimlik bilgilerini toplamalarını, kurbanın ortamını numaralandırmalarını ve daha fazla saldırı için ortamı hazırlamalarını sağlar. VPN yapılandırma dosyalarının çalınması, tehlikeye atılmış kimlik bilgileriyle birleştiğinde, saldırganların çok faktörlü kimlik doğrulamasını atlatmasına ve doğrudan hedefin ağına erişmesine de olanak tanıyabilir.
Black Basta'nın Kökenleri ve Cephaneliği
Black Basta, Conti fidye yazılımı çetesinin dağılmasının ardından 2022'de bağımsız bir grup olarak ortaya çıktı. Başlangıçta QakBot botnet'ine güvenen grup, o zamandan beri çeşitlendi ve operasyonlarına karmaşık sosyal mühendislik tekniklerini entegre etti.
Kötü amaçlı yazılım cephanelikleri şunları içerir:
- KNOTWRAP : C/C++ ile yazılmış, bellekteki yükleri çalıştırabilen, yalnızca belleğe dayalı bir dropper.
- KNOTROCK : Fidye yazılımını dağıtmak için kullanılan bir .NET yardımcı programı.
- DAWNCRY : Sabit kodlanmış bir anahtar kullanarak gömülü kaynakları şifresini çözen ve yürüten, yalnızca belleğe yüklenen başka bir dropper.
- PORTYARD : Özel bir ikili protokol kullanarak komuta ve kontrol (C2) sunucularına bağlanan bir tünelleyici.
- COGSCAN : Ağ ana bilgisayar numaralandırması için .NET tabanlı bir keşif aracı.
Tehdit Dağıtımına Yönelik Hibrit Bir Yaklaşım
Black Basta'nın evrimi, botnetlere bağımlılıktan, teknik karmaşıklığı sosyal mühendislikle birleştiren bir hibrit modele geçişlerini vurgular. Bu değişim, siber güvenlik savunmalarına kalıcı bir meydan okuma oluşturarak hedef ağlara sızma konusundaki uyum yeteneklerini ve kararlılıklarını vurgular.
Siyah Basta'ya Karşı Dikkatli Olmak
Bu tür tehditlere karşı koymak için, kuruluşlar siber güvenlik farkındalığını önceliklendirmeli, sağlam e-posta filtreleri uygulamalı ve çalışanları istenmeyen iletişimlerin ve kimliğe bürünme taktiklerinin tehlikeleri konusunda sürekli eğitmelidir. Bu sürekli adapte olan tehdit grubunun oluşturduğu riskleri azaltmada etkili önlemler esastır.