Black Basta Ransomware khai thác các chiến thuật kỹ thuật xã hội mới

Nhóm Black Basta Ransomware, nổi tiếng với các chiến lược phát triển không ngừng, đã áp dụng các phương pháp phân phối tải trọng mới kể từ tháng 10 năm 2024. Bên cạnh các chiến dịch ransomware truyền thống, hiện chúng còn phân phối các mối đe dọa như Zbot và DarkGate, cho thấy sự thay đổi có tính toán trong cách tiếp cận mục tiêu xâm phạm của chúng.

Kỹ thuật xã hội gặp phải Email Bombing

Black Basta sử dụng email bomb như một bước đầu tiên để áp đảo mục tiêu. Chiến thuật này bao gồm việc đăng ký email của nạn nhân vào nhiều danh sách gửi thư, thực sự nhấn chìm giao tiếp hợp pháp trong một cơn lũ thư rác. Sau khi email bomb, kẻ tấn công sẽ liên hệ trực tiếp với người dùng bị ảnh hưởng, lợi dụng sự nhầm lẫn để có lợi cho chúng.

Mạo danh trên các nền tảng quen thuộc

Một chiến thuật đáng chú ý được quan sát thấy vào tháng 8 năm 2024 liên quan đến những kẻ tấn công giả dạng nhân viên CNTT hoặc nhân viên hỗ trợ trên các nền tảng như Microsoft Teams. Bằng cách đóng giả là người trong cuộc đáng tin cậy, chúng thuyết phục mục tiêu tham gia vào tương tác tiếp theo. Trong một số trường hợp, những kẻ tấn công thậm chí còn mạo danh nhân viên CNTT thực tế từ tổ chức mục tiêu, khuếch đại độ tin cậy của chúng.

Tận dụng các công cụ truy cập từ xa để xâm phạm

Nạn nhân thường bị lừa cài đặt phần mềm truy cập từ xa hợp pháp như AnyDesk, TeamViewer hoặc Quick Assist của Microsoft. Sau khi cài đặt, các công cụ này cấp cho kẻ tấn công quyền kiểm soát hệ thống. Nhóm bảo mật của Microsoft theo dõi nhóm tội phạm mạng khai thác Quick Assist dưới mã định danh Storm-1811.

Vỏ đạn ngược và mã QR đe dọa

Ngoài các công cụ truy cập từ xa, kẻ tấn công sử dụng máy khách OpenSSH để thiết lập các shell ngược, cho phép chúng kiểm soát các hệ thống bị xâm phạm. Một phương pháp khác bao gồm gửi mã QR độc hại thông qua các nền tảng trò chuyện dưới chiêu bài thêm một thiết bị di động đáng tin cậy. Các mã QR này có khả năng chuyển hướng nạn nhân đến cơ sở hạ tầng có hại hoặc đánh cắp thông tin đăng nhập của họ.

Giao hàng Payload: Trộm cắp thông tin xác thực và các cuộc tấn công tiếp theo

Sau khi quyền truy cập được thiết lập, kẻ tấn công triển khai các tải trọng bổ sung, chẳng hạn như trình thu thập thông tin xác thực tùy chỉnh, Zbot hoặc DarkGate. Các công cụ này cho phép chúng thu thập thông tin xác thực, liệt kê môi trường của nạn nhân và thiết lập bối cảnh cho các cuộc tấn công tiếp theo. Việc đánh cắp các tệp cấu hình VPN, kết hợp với thông tin xác thực bị xâm phạm, cũng có thể cho phép kẻ tấn công bỏ qua xác thực đa yếu tố và truy cập trực tiếp vào mạng của mục tiêu.

Nguồn gốc và kho vũ khí của Black Basta

Black Basta nổi lên như một nhóm độc lập vào năm 2022 sau khi băng đảng Conti ransomware bị giải thể. Ban đầu dựa vào botnet QakBot, nhóm này đã đa dạng hóa, tích hợp các kỹ thuật kỹ thuật xã hội tinh vi vào hoạt động của mình.

Kho phần mềm độc hại của chúng bao gồm:

• KNOTWRAP : Một dropper chỉ dành cho bộ nhớ được viết bằng C/C++, có khả năng thực thi các tải trọng trong bộ nhớ.
• KNOTROCK : Một tiện ích .NET được sử dụng để triển khai phần mềm tống tiền.
• DAWNCRY : Một dropper chỉ dành cho bộ nhớ khác giải mã và thực thi các tài nguyên được nhúng bằng khóa được mã hóa cứng.
• PORTYARD : Một đường hầm kết nối tới máy chủ chỉ huy và điều khiển (C2) bằng giao thức nhị phân tùy chỉnh.
• COGSCAN : Công cụ trinh sát dựa trên .NET để liệt kê máy chủ mạng.

Một cách tiếp cận kết hợp để phân phối mối đe dọa

Sự tiến hóa của Black Basta làm nổi bật quá trình chuyển đổi của chúng từ việc phụ thuộc vào botnet sang mô hình lai kết hợp sự tinh vi về mặt kỹ thuật với kỹ thuật xã hội. Sự thay đổi này nhấn mạnh khả năng thích ứng và quyết tâm xâm nhập vào các mạng mục tiêu của chúng, đặt ra thách thức dai dẳng đối với các biện pháp phòng thủ an ninh mạng.

Luôn cảnh giác với Black Basta

Để chống lại các mối đe dọa như vậy, các tổ chức phải ưu tiên nâng cao nhận thức về an ninh mạng, triển khai các bộ lọc email mạnh mẽ và liên tục giáo dục nhân viên về mối nguy hiểm của các chiến thuật liên lạc và mạo danh không mong muốn. Các biện pháp hiệu quả là cần thiết để giảm thiểu rủi ro do nhóm mối đe dọa luôn thích nghi này gây ra.