Er is waargenomen dat de bedreigingsactoren die verband houden met de Black Basta-ransomware, sinds begin oktober 2024 hun social engineering-tactieken hebben gewijzigd en een andere reeks payloads zoals Zbot en DarkGate hebben verspreid.
“Gebruikers binnen de doelomgeving zullen worden gebombardeerd met e-mail door de bedreigingsacteur, wat vaak wordt bereikt door de e-mail van de gebruiker tegelijkertijd aan te melden bij meerdere mailinglijsten”, aldus Rapid7. “Na de e-mailbom zal de bedreigingsacteur contact opnemen met de getroffen gebruikers.”
Zoals in augustus werd waargenomen, maken de aanvallers het eerste contact met potentiële doelwitten op Microsoft Teams, waarbij ze zich voordoen als ondersteunend personeel of IT-personeel van de organisatie. In sommige gevallen is ook waargenomen dat zij zich voordoen als IT-personeel binnen de beoogde organisatie.
Gebruikers die uiteindelijk met de bedreigingsactoren in aanraking komen, worden dringend verzocht legitieme software voor externe toegang te installeren, zoals AnyDesk, ScreenConnect, TeamViewer en Quick Assist van Microsoft. De Windows-maker volgt de cybercriminele groep achter het misbruik van Quick Assist voor Black Basta-implementatie onder de naam Storm-1811.
Rapid7 zei dat het ook pogingen van de ransomware-ploeg heeft gedetecteerd om de OpenSSH-client te gebruiken om een omgekeerde shell op te zetten, en om via de chats een kwaadaardige QR-code naar de slachtoffergebruiker te sturen om waarschijnlijk hun inloggegevens te stelen onder het voorwendsel van het toevoegen van een vertrouwde mobiele telefoon. apparaat.
Cyberbeveiligingsbedrijf ReliaQuest, dat ook over dezelfde campagne rapporteerde, theoretiseerde echter dat de QR-codes worden gebruikt om gebruikers naar verdere kwaadaardige infrastructuur te leiden.
De externe toegang die wordt gefaciliteerd door de installatie van AnyDesk (of een equivalent daarvan) wordt vervolgens gebruikt om extra payloads aan de gecompromitteerde host te leveren, inclusief een aangepast programma voor het verzamelen van inloggegevens, gevolgd door de uitvoering van Zbot (ook bekend als ZLoader) of DarkGate, die kan dienen als een toegangspoort voor vervolgaanvallen.
“Het algemene doel na de eerste toegang lijkt hetzelfde te zijn: snel de omgeving in kaart brengen en de inloggegevens van de gebruiker dumpen”, aldus Rapid7-beveiligingsonderzoeker Tyler McGraw.
“Waar mogelijk zullen operators ook nog steeds proberen alle beschikbare VPN-configuratiebestanden te stelen. Met de inloggegevens van de gebruiker, VPN-informatie van de organisatie en mogelijke MFA-bypass, kan het voor hen mogelijk zijn om rechtstreeks te authenticeren in de doelomgeving.”
Black Basta ontstond als een autonome groep uit de as van Conti in de nasleep van de sluiting van laatstgenoemde in 2022, aanvankelijk leunend op QakBot om doelen te infiltreren, voordat ze zich diversifieerden naar social engineering-technieken. De bedreigingsacteur, ook wel UNC4393 genoemd, heeft sindsdien verschillende op maat gemaakte malwarefamilies gebruikt om zijn doelstellingen te verwezenlijken:
- KNOTWRAP, een dropper voor alleen geheugen geschreven in C/C++ die een extra payload in het geheugen kan uitvoeren
- KNOTROCK, een op .NET gebaseerd hulpprogramma dat wordt gebruikt om de ransomware uit te voeren
- DAWNCRY, een dropper met alleen geheugen die een ingebedde bron in het geheugen decodeert met een hardgecodeerde sleutel
- PORTYARD, een tunneler die een verbinding tot stand brengt met een hardgecodeerde command-and-control (C2)-server met behulp van een aangepast binair protocol via TCP
- COGSCAN, een .NET-verkenningsassemblage die wordt gebruikt om een lijst met beschikbare hosts op het netwerk te verzamelen
“De evolutie van Black Basta in de verspreiding van malware laat een merkwaardige verschuiving zien van een puur botnet-afhankelijke aanpak naar een hybride model dat social engineering integreert”, zegt Yelisey Bohuslavskiy van RedSense.
De onthulling komt op het moment dat Check Point zijn analyse van een bijgewerkte Rust-variant van de Akira-ransomware heeft gedetailleerd, waarbij de afhankelijkheid van de malware-auteurs wordt benadrukt van kant-en-klare boilerplate-code die is gekoppeld aan bibliotheken en kratten van derden, zoals indicatif, rust-crypto en seahorse.
Ransomware-aanvallen hebben ook gebruik gemaakt van een variant van de Mimic-ransomware genaamd Elpaco, waarbij Rhysida-infecties ook gebruik maken van CleanUpLoader om te helpen bij gegevensexfiltratie en persistentie. De malware is vaak vermomd als installatieprogramma voor populaire software, zoals Microsoft Teams en Google Chrome.
“Door getypte domeinen te creëren die lijken op populaire softwaredownloadsites, verleidt Rhysida gebruikers om geïnfecteerde bestanden te downloaden”, aldus Recorded Future. “Deze techniek is vooral effectief in combinatie met SEO-vergiftiging, waarbij deze domeinen hoger worden gerangschikt in de resultaten van zoekmachines, waardoor ze verschijnen als legitieme downloadbronnen.”
