Програмне забезпечення-вимагач Black Basta використовує нову тактику соціальної інженерії
Група Black Basta Ransomware, відома своїми стратегіями, що розвиваються, запровадила нові методи доставки корисного навантаження з жовтня 2024 року. Поряд зі своїми традиційними кампаніями програм-вимагачів, вони тепер поширюють такі загрози, як Zbot і DarkGate, що демонструє продуману зміну їх підходу до цілей компрометації.
Зміст
Соціальна інженерія зустрічається з бомбардуванням електронною поштою
Чорний Баста використовує бомбардування електронною поштою як перший крок, щоб придушити цілі. Ця тактика передбачає підписку на електронну пошту жертви на численні списки розсилки, що фактично заглушає легітимну комунікацію в потоці спаму. Після вибуху електронної пошти зловмисники звертаються безпосередньо до постраждалих користувачів, використовуючи плутанину на свою користь.
Видача себе за іншу особу на знайомих платформах
У серпні 2024 року була помічена відома тактика, у якій зловмисники маскуються під ІТ-персонал або персонал служби підтримки на таких платформах, як Microsoft Teams. Видаючи себе за довірених інсайдерів, вони переконують цілі брати участь у подальшій взаємодії. У деяких випадках зловмисники навіть видають себе за справжніх ІТ-персоналів цільової організації, підвищуючи свою довіру.
Використання інструментів віддаленого доступу для компромісу
Жертв часто обманом змушують встановити законне програмне забезпечення віддаленого доступу, наприклад AnyDesk, TeamViewer або Microsoft Quick Assist. Після встановлення ці інструменти надають зловмисникам контроль над системою. Команда безпеки Microsoft відстежує групу кіберзлочинців, яка використовує Quick Assist під ідентифікатором Storm-1811.
Reverse Shells і загрозливі QR-коди
Окрім інструментів віддаленого доступу, зловмисники використовують клієнт OpenSSH для встановлення зворотних оболонок, що дозволяє їм контролювати скомпрометовані системи. Інший метод передбачає надсилання шкідливих QR-кодів через чат-платформи під виглядом додавання надійного мобільного пристрою. Ці QR-коди, ймовірно, перенаправляють жертв на шкідливу інфраструктуру або викрадають їхні облікові дані.
Доставка корисного навантаження: викрадення облікових даних і наступні атаки
Після того, як доступ встановлено, зловмисники розгортають додаткові корисні навантаження, такі як користувацькі збірники облікових даних, Zbot або DarkGate. Ці інструменти дозволяють їм збирати облікові дані, перераховувати оточення жертви та готувати основу для подальших атак. Крадіжка конфігураційних файлів VPN у поєднанні з скомпрометованими обліковими даними також може дозволити зловмисникам обійти багатофакторну автентифікацію та отримати прямий доступ до цільової мережі.
Походження та арсенал Black Basta
Black Basta виникла як окрема група у 2022 році після розпуску банди програм-вимагачів Conti. Спочатку покладаючись на ботнет QakBot, група згодом диверсифікувалася, інтегруючи складні методи соціальної інженерії у свою діяльність.
Їхній арсенал шкідливих програм включає:
- KNOTWRAP : дроппер лише для пам’яті, написаний мовою C/C++, здатний виконувати корисні навантаження в пам’яті.
- KNOTROCK : утиліта .NET, яка використовується для розгортання самої програми-вимагача.
- DAWNCRY : ще один дроппер, який працює лише з пам’яттю, який розшифровує та виконує вбудовані ресурси за допомогою жорстко закодованого ключа.
- PORTYARD : тунелер, який підключається до командно-контрольних (C2) серверів за допомогою спеціального бінарного протоколу.
- COGSCAN : Інструмент розвідки на основі .NET для нумерації хостів мережі.
Гібридний підхід до доставки загроз
Еволюція Black Basta підкреслює їх перехід від використання ботнетів до гібридної моделі, яка поєднує технічну витонченість із соціальною інженерією. Ця зміна підкреслює їх здатність до адаптації та рішучість проникнути в цільові мережі, створюючи постійний виклик захисту кібербезпеки.
Будьте пильні проти Чорного Басти
Щоб протистояти таким загрозам, організації повинні надати пріоритет обізнаності про кібербезпеку, запровадити надійні фільтри електронної пошти та постійно навчати співробітників про небезпеку небажаних повідомлень і тактик видавання себе за іншу особу. Ефективні заходи є важливими для пом’якшення ризиків, пов’язаних із цією групою загроз, що постійно адаптується.