Voormalige leden die zijn gebonden aan de Black Basta Ransomware-operatie zijn waargenomen vast te houden aan hun beproefde benadering van e-mailbombardementen en Microsoft-teams phishing om aanhoudende toegang tot doelnetwerken te vestigen.
“Onlangs hebben aanvallers Python Script -uitvoering geïntroduceerd naast deze technieken, met behulp van curl -verzoeken om kwaadaardige payloads op te halen en te implementeren,” zei Reliaquest in een rapport gedeeld met het Hacker News.
De ontwikkeling is een teken dat de dreigingsacteurs blijven draaien en zich hergroeperen, ondanks dat het Black Basta -merk een enorme klap en een daling na het publieke lek van zijn interne chatlogs eerder in februari.
Het cybersecuritybedrijf zei dat de helft van de teams phishing aanvallen die tussen februari en mei 2025 werden waargenomen, afkomstig waren van onmicrosoft (.) COM -domeinen, en dat overtredende domeinen in dezelfde periode 42% van de aanvallen waren. Dit laatste is een stuk heimelijker en stelt bedreigingsacteurs in staat om zich voor te doen als legitiem verkeer in hun aanvallen.
Zo recent als vorige maand, zijn de klanten van Reliaquest in de financiële en verzekeringssector en de bouwsector het doelwit met behulp van teams die phishing door Masquerading als helpdesk -personeel te gebruiken om niet -verwerkende gebruikers te misleiden.
“De afsluiting van de data-leksite van Black Basta, ondanks het voortdurende gebruik van zijn tactiek, geeft aan dat voormalige gelieerde ondernemingen waarschijnlijk naar een andere RAAS-groep zijn gemigreerd of een nieuwe hebben gevormd,” voegde het bedrijf eraan toe. “Het meest waarschijnlijke scenario is dat voormalige leden zich hebben aangesloten bij de Cactus Raas Group, die wordt bewezen door Black Basta -leider Trump die verwijst naar een betaling van $ 500 – 600k aan Cactus in de gelekte chats.”
Dat gezegd hebbende, het is vermeldenswaard dat Cactus sinds maart 2025 geen organisaties op haar gegevensleksite heeft genoemd, wat aangeeft dat de groep is ontbonden of opzettelijk probeert de aandacht op zichzelf te schenken. Een andere mogelijkheid is dat de gelieerde ondernemingen zijn verhuisd naar Blacklock, waarvan wordt aangenomen dat het op zijn beurt is begonnen met een ransomware -kartel met de naam Dragonforce.
De dreigingsacteurs zijn ook gespot met behulp van de toegang verkregen via de teams phishing-techniek tot initiële externe desktopsessies via Quick Assist en Anydesk, en vervolgens een kwaadaardig Python-script downloaden van een externe adres en het uitvoeren van command-and-control (C2) communicatie.
“Het gebruik van Python -scripts in deze aanval benadrukt een zich ontwikkelende tactiek die waarschijnlijk in de toekomst in toekomstige teams in de nabije toekomst vaker voorkomt,” zei Reliaquest.
De Black Basta-stijl social engineeringstrategie om een combinatie van e-mailspammen, teams phishing en snelle assist te gebruiken, heeft sindsdien ook afnemers gevonden onder de Blacksuit Ransomware Group, waardoor de mogelijkheid dat Blacksuit-filialen de aanpak hebben omarmd of leden van de groep hebben geabsorbeerd.
Volgens Rapid7 dient de initiële toegang als een pad om bijgewerkte varianten van een op Java gebaseerde rat te downloaden en uit te voeren die eerder werd ingezet om op te treden als een hagent van de referentie in Black Basta-aanvallen.
“De Java Malware misbruikt nu cloudgebaseerde bestandshostingservices van zowel Google als Microsoft aan proxy-opdrachten via de respectieve cloudserviceprovider (CSP) -servers,” zei het bedrijf. “In de loop van de tijd is de malware -ontwikkelaar verwijderd van directe proxyverbindingen (dwz de configuratieoptie is leeg of niet aanwezig), naar OneDrive en Google Sheets, en het meest recent, naar eenvoudigweg Google Drive gebruiken.”
De nieuwe iteratie van de malware -verpakkingen in meer functies om bestanden over te dragen tussen de geïnfecteerde host en een externe server, een Socks5 -proxy -tunnel initiëren, referenties stelen die zijn opgeslagen in webbrowsers, een nep Windows -loginvenster presenteren en een Java -klasse downloaden van een meegeleverde URL en het in het geheugen runnen.
Net als de 3AM -ransomware -aanvallen die een paar weken geleden door Sophos zijn gedetailleerd, worden de indringers ook gekenmerkt door het gebruik van een tunneling -achterdeur genaamd Qdoor, een malware die eerder werd toegeschreven aan Blacksuit, en een Rust -lading die waarschijnlijk een aangepaste lader is voor de SSH -hulpprogramma en een Python Rat die anubi’s wordt verwezen.
De bevindingen komen te midden van een aantal ontwikkelingen in het ransomware -landschap –
- De financieel gemotiveerde groep die bekend staat als Scattered Spider heeft gericht op managed serviceproviders (MSP’s) en IT-leveranciers als onderdeel van een “one-to-many” benadering om meerdere organisaties te infiltreren via een enkele compromis, in sommige gevallen die gecompromitteerde accounts van de Global IT-aannemer Tata Consultancy Services (TC’s) te krijgen om initiële toegang te krijgen.
- Scattered Spider heeft bogus-inlogpagina’s gemaakt met behulp van de Evilginx phishing-kit om multi-factor authenticatie (MFA) en gesmeed strategische allianties te omzeilen met grote ransomware-operators zoals Alphv (aka Blackcat), RansomHub en, meest recent, Dragonforce, om sophistische aanvallen te leiden door het verkennen van ms-software in eenvoudige bureaubop-software.
- Qilin (AKA Agenda en Phantom Mantis) Ransomware-operators hebben een gecoördineerde inbraakcampagne gelanceerd die zich richten op verschillende organisaties tussen mei en juni 2025 door de Fortinet Fortigate-kwetsbaarheden (bijv. CVE-2014-21762 en CVE-2024-5591) voor initiële toegang te bewapenen.
- Het spel (aka ballonfly en playcrypt) ransomware-groep zal naar schatting 900 entiteiten hebben gecompromitteerd vanaf mei 2025 sinds de opkomst ervan medio 2022. Sommige aanvallen hebben simplehelp-fouten (CVE-2024-57727) gebruikt om veel in de VS gevestigde entiteiten te richten na openbare openbaarmaking van de kwetsbaarheid.
- De beheerder van de VanHelsing Ransomware Group heeft de hele broncode op het Ramp Forum gelekt, onder verwijzing naar interne conflicten tussen ontwikkelaars en leiderschap. De gelekte details omvatten de TOR -toetsen, ransomware -broncode, admin -webpaneel, chatsysteem, bestandsserver en de blog met de volledige database, per producaFAFT.
- The Interlock ransomware group has deployed a previously undocumented JavaScript remote access trojan called NodeSnake as part of attacks targeting local government and higher education organizations in the United Kingdom in January and March 2025. The malware, distributed via phishing emails, offers persistent access, system reconnaissance, and remote command execution capabilities.
“Ratten stellen aanvallers in staat om externe controle over geïnfecteerde systemen te krijgen, waardoor ze toegang hebben tot bestanden, activiteiten kunnen bewaken en systeeminstellingen kunnen manipuleren,” zei Quorum Cyber. “Dreigingsactoren kunnen een rat gebruiken om persistentie binnen een organisatie te behouden en om extra tooling of malware in de omgeving te introduceren. Ze kunnen ook toegang krijgen tot, manipuleren, vernietigen of exfiltreren.”
