{"id":7494,"date":"2024-12-14T20:59:45","date_gmt":"2024-12-14T19:59:45","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7494"},"modified":"2024-12-14T20:59:45","modified_gmt":"2024-12-14T19:59:45","slug":"black-basta-ransomware-kampanja","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/","title":{"rendered":"Black Basta ransomware kampanja"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>Black<\/em> <em>Basta<\/em> <em>ransomware<\/em> grupa je eskalirala svoje napade sa fokusom na sofisticirane taktike dru\u0161tvenog in\u017eenjeringa kao \u0161to su bombardovanje elektronskom po\u0161tom (eng. <em>email bombing<\/em>), iskori\u0161tavanje <em>QR<\/em> kodova i la\u017eno predstavljanje <em>IT<\/em> osoblja, <a href=\"https:\/\/www.rapid7.com\/blog\/post\/2024\/12\/04\/black-basta-ransomware-campaign-drops-zbot-darkgate-and-custom-malware\/\" target=\"_blank\" rel=\"noopener\">otkriva analiza sigurnosne kompanije <em>Rapid7<\/em><\/a>. Ova kampanja, koja je po\u010dela po\u010detkom oktobra 2024. godine, uklju\u010duje preoptere\u0107enje korisnika sa prevelikim brojem ne\u017eeljenih elektronskih poruka (bombardovanje elektronskom po\u0161tom) kako bi se stvorio haos, nakon \u010dega sledi kontakt od <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog aktera<\/a> koji se predstavlja kao podr\u0161ka ili <em>IT<\/em> osoblje koje nudi pomo\u0107.<\/span><\/p>\n<div id=\"attachment_7497\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7497\" class=\"size-full wp-image-7497\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/12\/Black-Basta-Ransomware-Campaign.jpg\" alt=\"Black Basta Ransomware\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/12\/Black-Basta-Ransomware-Campaign.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/12\/Black-Basta-Ransomware-Campaign-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/12\/Black-Basta-Ransomware-Campaign-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/12\/Black-Basta-Ransomware-Campaign-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/12\/Black-Basta-Ransomware-Campaign-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/12\/Black-Basta-Ransomware-Campaign-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/12\/Black-Basta-Ransomware-Campaign-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7497\" class=\"wp-caption-text\"><em>Black Basta ransomware kampanja; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/#BLACK_BASTA\">BLACK BASTA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/#Nova_kampanja\">Nova kampanja<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/#Taktike_drustvenog_inzinjeringa\">Taktike dru\u0161tvenog in\u017einjeringa<\/a><ul class='ez-toc-list-level-5' ><li class='ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/#Bombardovanje_elektronskom_postom\">Bombardovanje elektronskom po\u0161tom<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/#Lazno_predstavljanje\">La\u017eno predstavljanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/#QR_kodovi\">QR kodovi<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/#Zlonamjerni_softver\">Zlonamjerni softver<\/a><ul class='ez-toc-list-level-5' ><li class='ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/#Zbot_zlonamjerni_softver\">Zbot zlonamjerni softver<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/#DarkGate_zlonamjerni_softver\">DarkGate zlonamjerni softver<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/#Prilagodeni_zlonamjerni_softver\">Prilago\u0111eni zlonamjerni softver<\/a><\/li><\/ul><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/#Uticaj\">Uticaj<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"http:\/\/sajberinfo.com\/en\/2024\/12\/14\/black-basta-ransomware-kampanja\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"BLACK_BASTA\"><\/span><strong><em>BLACK BASTA<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Grupa zlonamjernih aktera koja stoji iza <em>Black<\/em> <em>Basta<\/em> <em>ransomware<\/em> zlonamjernog softvera je veoma sposobna i tajnovita, ispoljava sli\u010dne karakteristike kao privatne grupe kao \u0161to su <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/10\/conti-ransomware-unistava-rezervne-kopije\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Conti<\/em><\/a>, <em>TA505<\/em> i <em>Evil Corp<\/em>. Oni preferiraju ciljani pristup u odnosu na sveobuhvatne taktike prskanja i hvatanja plena, pedantno procjenjuju\u0107i svoje \u017ertve pre nego \u0161to krenu u napad. Grupa ili isklju\u010duje filijale ili sara\u0111uje samo sa ograni\u010denim brojem pouzdanih.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sam <em>ransomware<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> je napisan u <em>C++<\/em> programskom jeziku i funkcioni\u0161e po modelu <em>ransomware <\/em>kao usluga (eng. <em>Ransomware-as-a-Service \u2013 RaaS<\/em>), koji se prvi put pojavio jo\u0161 u aprilu 2022. godine. Kreatori ovog zlonamjernog softvera pokazali su interesovanje ne samo za ciljanje organizacija u Sjedinjenim Ameri\u010dkim Dr\u017eavama, ve\u0107 i onih u Australiji, Kanadi, Novom Zelandu, Ujedinjenom Kraljevstvu, Njema\u010dkoj, \u0160vajcarskoj, Italiji, Francuskoj i Holandiji.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Black<\/em> <em>Basta<\/em> grupa je povezan sa <a href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/19\/fin7-koristi-google-reklame-za-netsupport-rat-isporuku\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>FIN7<\/em><\/a> (<em>Carbanak<\/em>) grupom zlonamjernih aktera zbog <a href=\"https:\/\/sajberinfo.com\/en\/2024\/07\/21\/avneutralizer-osposobljava-edr-rijesenja\/\" target=\"_blank\" rel=\"nofollow noopener\">zajedni\u010dkih prilago\u0111enih modula za izbjegavanje softvera za detekciju i odgovor na prijetnje<\/a> (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) i preklapanja upotrebe <em>IP<\/em> adresa za komandne i kontrolne (<em>C2<\/em>) operacije. Operateri koriste tehniku dvostrukog iznu\u0111ivanja, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanje<\/a> datoteka na ciljanim sistemima, a istovremeno odr\u017eavaju mra\u010dnu internet lokaciju za objavu na kojoj prijete da \u0107e objaviti osjetljive informacije ako se ne plati otkup.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Nova_kampanja\"><\/span><strong>Nova kampanja<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Najnovija kampanja faza <em>Black<\/em> <em>Basta<\/em> <em>ransomware<\/em> zlonamjernog softvera uklju\u010duje prefinjene procedure dru\u0161tvenog in\u017eenjeringa, napredni zlonamjerni softver i pobolj\u0161ane tehnike izbjegavanja odbrane. Ova kampanja je po\u010dela po\u010detkom oktobra 2024. godine i predstavlja zna\u010dajnu prijetnju organizacijama \u0161irom sveta zbog napredne prirode ovih tehnika.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Taktike_drustvenog_inzinjeringa\"><\/span><strong>Taktike dru\u0161tvenog in\u017einjeringa<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Taktike dru\u0161tvenog in\u017eenjeringa kampanje <em>Black<\/em> <em>Basta<\/em> <em>ransomware<\/em> zlonamjernog softvera odnose se na niz metoda koje koriste zlonamjerni akteri da bi kompromitovali ciljane sisteme, prvenstveno kroz iskori\u0161tavanje ljudskih ranjivosti, a ne tehni\u010dkih slabosti. Ove taktike su dizajnirane da manipuli\u0161u pojedincima unutar organizacije da odaju osjetljive informacije ili nesvjesno izvr\u0161e zlonamjerni softver. Tako da u ovoj kampanji govorimo o:<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span class=\"ez-toc-section\" id=\"Bombardovanje_elektronskom_postom\"><\/span><strong>Bombardovanje elektronskom po\u0161tom<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akteri su zapo\u010dinjali napade na ogroman broj korisnika sa bara\u017eom ne\u017eeljenih elektronskih poruka, \u0161to je taktika poznata kao bombardovanje elektronskom po\u0161tom. Ovaj metod uklju\u010duje preoptere\u0107enje pojedinca ili organizacije prevelikim brojem ne\u017eeljenih elektronskih poruka kako bi se stvorila zabuna i pove\u0107ala vjerovatno\u0107a da \u0107e odgovoriti na zlonamjerne komunikacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Proces bombardovanja putem elektronske po\u0161te po\u010dinje kada zlonamjerni akteri pretplate adresu elektronske po\u0161te \u017ertve na brojne liste za slanje elektronske po\u0161te, \u0161to rezultira prilivom ne\u017eeljenih poruka. Ogroman obim ovih elektronskih poruka mo\u017ee brzo da preplavi prijemno sandu\u010de primaoca, \u0161to mu ote\u017eava upravljanje korespondencijom i razlikovanje legitimne komunikacije od zlonamjerne.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Cilj ove taktike je da se stvori stanje haosa koje \u017ertvu \u010dini podlo\u017enijom napadima dru\u0161tvenog in\u017eenjeringa. Ova tehnika mo\u017ee biti posebno efikasna kada se kombinuje sa drugim taktikama dru\u0161tvenog in\u017eenjeringa kao \u0161to su la\u017eno predstavljanje ili <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>poku\u0161ajima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span class=\"ez-toc-section\" id=\"Lazno_predstavljanje\"><\/span><strong>La\u017eno predstavljanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Usred ovog haosa, <em>Black<\/em> <em>Basta<\/em> zlonamjerni akteri kontaktiraju \u017ertve, \u010desto preko <em>Microsoft<\/em> <em>Teams<\/em> aplikacije, predstavljaju\u0107i se kao podr\u0161ka ili <em>IT<\/em> osoblje koje nudi pomo\u0107. Prikazana imena koja koriste ovi operateri mogu uklju\u010divati i imena i prezimena, koja odra\u017eavaju imena stvarnog <em>IT<\/em> osoblja u ciljnoj organizaciji. Upotreba legitimno zvu\u010dnih imena za prikaz ima za cilj da dodatno obmane korisnike da vjeruju da je zlonamjerni akter \u010dlan njihove organizacije od povjerenja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ako korisnik stupi u interakciju sa zlonamjernim akterom, on \u0107e poku\u0161ati da ga ubijedi da instalira ili izvr\u0161i alatku za daljinsko upravljanje (eng. <em>remote management \u2013 RMM<\/em>) kao \u0161to su <em>QuickAssist<\/em>, <em>AnyDesk<\/em>, <em>TeamViewer<\/em>, <em>Level <\/em>i <em>ScreenConnect. <\/em>Ovi alati omogu\u0107avaju zlonamjernim akterima pristup sistemu \u017ertve, omogu\u0107avaju\u0107i im da preuzmu <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisne podatke<\/a> (eng. <em>payloads<\/em>) sa svoje infrastrukture, dobiju korisni\u010dke akreditive i odr\u017eavaju uporan pristup ciljanim sredstvima za dalju eksploataciju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span class=\"ez-toc-section\" id=\"QR_kodovi\"><\/span><strong><em>QR<\/em> kodovi<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Primije\u0107eno je kako <em>Black Basta<\/em> grupa koristi i <em>QR<\/em> k\u00f4dove kao dio njihove taktike dru\u0161tvenog in\u017eenjeringa za kra\u0111u akreditiva i potencijalnu eksfiltraciju podataka. Upotreba ovih zlonamjernih <em>QR<\/em> k\u00f4dova slu\u017ei za ugro\u017eavanje bezbjednosti \u017ertve tako \u0161to ih navodi da skeniranju k\u00f4d. U najmanje jednom slu\u010daju, zlonamjerni akter je podijelio <em>QR<\/em> k\u00f4d sa svojim ciljanim korisnikom, gdje je primije\u0107eno da se ovi k\u00f4dovi mogu prilagoditi za svaki cilj na osnovu naziva kompanije i drugih informacija za identifikaciju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jednom kada \u017ertva skenira ovaj zlonamjerni <em>QR<\/em> k\u00f4d, to mo\u017ee dovesti do kra\u0111e akreditiva ili usmjeravanja na zlonamjernu infrastrukturu, \u010dime se dodatno ugro\u017eava njihova bezbjednost. Mehanizam pomo\u0107u kojeg ovi <em>QR<\/em> k\u00f4dovi funkcioni\u0161u mo\u017ee uklju\u010divati preusmjeravanje korisnika na <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>internet stranice dizajnirane da prihvate akreditive za prijavu ili instaliranje dodatnih korisnih podataka zlonamjernog softvera na ure\u0111aj \u017ertve.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Zlonamjerni_softver\"><\/span><strong>Zlonamjerni softver<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Tokom kampanje dru\u0161tvenog in\u017eenjeringa koju sprovode <em>Black<\/em> <em>Basta<\/em> zlonamjerni akteri, primije\u0107eno je da koriste razli\u010dite vrste zlonamjernog softvera. Upotreba ovih alata poma\u017ee zlonamjernim akterima da izbjegnu otkrivanje i efikasnije izvedu svoje napade. U ovo kampanji se mogu istaknuti:<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span class=\"ez-toc-section\" id=\"Zbot_zlonamjerni_softver\"><\/span><strong><em>Zbot<\/em> zlonamjerni softver<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Ovaj zlonamjerni softver je tako\u0111e poznat kao <em>Zeus<\/em> ili <em>Zues<\/em> <em>Trojan<\/em> i on je vrsta kradljivaca informacija koja je prvi put otkrivena 2007. godine. Ovaj zlonamjerni softver je \u010desto preru\u0161en u naizgled bezopasan <em>QR<\/em> k\u00f4d, koji su \u017ertve prevarene da skeniranju pod la\u017enim izgovorom. Jednom aktiviran, ovaj zlonamjerni softver mo\u017ee dovesti do kra\u0111e akreditiva ili usmjeravanja korisnika ka zlonamjernoj infrastrukturi, ugro\u017eavaju\u0107i njihovu bezbjednost.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Zbot<\/em> zlonamjerni softver slu\u017ei kao klju\u010dna odsko\u010dna daska u <em>Black<\/em> <em>Basta <\/em>lancu napada. Kra\u0111om korisni\u010dkih akreditiva i <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/17\/vpn-sigurno-mrezno-povezivanje\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>VPN<\/em> <\/a>informacija organizacije, zlonamjerni akteri dobijaju pristup ciljnim okru\u017eenjima. Ovo im potencijalno omogu\u0107ava da se autentifikuju direktno u ciljane sisteme, pove\u0107avaju\u0107i njihove \u0161anse da uspje\u0161no izvr\u0161e <em>ransomware<\/em> napad.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span class=\"ez-toc-section\" id=\"DarkGate_zlonamjerni_softver\"><\/span><strong><em>DarkGate<\/em> zlonamjerni softver<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/darkgate-zlonamjerni-softver-evoluirao\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>DarkGate<\/em><\/a> je <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanac<\/a> za daljinski pristup (eng. <em>remote access trojan \u2013 RAT<\/em>) koji je prvi put otkriven 2016. godine i godinama je bio povezan sa razli\u010ditim grupama sajber kriminala. <em>DarkGate<\/em> mo\u017ee da obavlja razne zlonamjerne aktivnosti kao \u0161to su pra\u0107enje <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/01\/keyloggers\/\" target=\"_blank\" rel=\"nofollow noopener\">korisni\u010dkog unosa<\/a> (eng. <em>keylogging<\/em>), daljinsko izvr\u0161avanje k\u00f4da, pove\u0107anje privilegija, izbjegavanje otkrivanja, kra\u0111u podataka i daljinsko upravljanje zara\u017eenim sistemima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Poznat je po svojoj sposobnosti da izbjegne otkrivanje kori\u0161tenjem vi\u0161e instanci samog sebe unutar instanci procesa. Jednom instaliran, sakriva svoje zlonamjerno pona\u0161anje ubrizgavaju\u0107i se u razli\u010dite procese. Jedan od intrigantnijih aspekata <em>DarkGate<\/em> zlonamjernog softvera je njegova sposobnost da ponovo inficira sistem koriste\u0107i <em>Autoit<\/em>, <em>AutoHotkey ili<\/em> <em>DLL<\/em> teret. Ova otpornost \u010dini izazovom potpuno iskorjenjivanje ovog zlonamjernog softvera kada se jednom uvede u mre\u017eu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span class=\"ez-toc-section\" id=\"Prilagodeni_zlonamjerni_softver\"><\/span><strong>Prilago\u0111eni zlonamjerni softver<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Primije\u0107eno je da su <em>Black<\/em> <em>Basta<\/em> zlonamjerni prilago\u0111eni alat za pakovanje za prikrivanje njihovih uzoraka zlonamjernog softvera pre distribucije. Ova tehnika im poma\u017ee da izbjegnu otkrivanje od strane bezbjednosnog softvera, jer su originalna struktura k\u00f4da i pona\u0161anje skriveni od analize. <em>Black<\/em> <em>Basta<\/em> tako\u0111e koristi prilago\u0111eni sakuplja\u010d akreditiva za prikupljanje korisni\u010dkih akreditiva sa kompromitovanih sistema.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovi alati se neprekidno a\u017euriraju tokom vremena kao dio stalnih napora ove zlonamjerne grupe da ostanu neotkriveni i efikasni u svojim zlonamjernim aktivnostima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Uticaj\"><\/span><strong>Uticaj<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Uticaj <em>Black<\/em> <em>Basta<\/em> <em>ransomware<\/em> kampanje je da mo\u017ee dovesti do ugro\u017eavanja podataka i kompromitovanja sistema za ciljane organizacije. To mo\u017ee dovesti do gubitka osjetljivih informacija, zastoja zbog <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanih<\/a> sistema, finansijskih gubitaka od otkupnina koje zahtevaju zlonamjerni akteri, potencijalne \u0161tete po reputaciju i problema sa uskla\u0111eno\u0161\u0107u ako procure li\u010dni ili povjerljivi podaci.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Taktike eskalacije koje koristi <em>Black<\/em> <em>Basta<\/em>, kao \u0161to su bombardovanje elektronskom po\u0161tom, prevare sa <em>QR<\/em> k\u00f4dom i napadi dru\u0161tvenog in\u017eenjeringa, \u010dine organizacijama izazovnijim da se efikasno za\u0161tite. Pored toga, kori\u0161tenje prilago\u0111enih sakuplja\u010da akreditiva, naprednih metoda isporuke i sofisticiranih alata za pakovanje ote\u017eava bezbjednosnim rje\u0161enjima da efikasno otkriju i sprije\u010de ove napade. Sve ovo predstavlja prijetnju organizacijama u razli\u010ditim industrijama.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Najnovija kampanja faza <em>Black<\/em> <em>Basta<\/em> <em>ransomware<\/em> zlonamjernog softvera predstavlja zna\u010dajnu prijetnju u okviru <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>. Zlonamjerni akteri su intenzivirali svoje taktike dru\u0161tvenog in\u017eenjeringa i sada koriste <em>Microsoft Teams<\/em> za isporuku zlonamjernih korisnih podataka, predstavljaju\u0107i se kao \u010dlanovi <em>IT<\/em> osoblja da prevare korisnike da instaliraju alate za daljinsko upravljanje ili pokretanje \u0161tetnih programa.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ove radnje mogu dovesti do kra\u0111e akreditiva, <em>VPN<\/em> konfiguracija i daljeg postavljanja dodatnog tereta kao \u0161to su sakuplja\u010di akreditiva ili <em>ransomware<\/em> zlonamjerni softver. Zlonamjerni akteri tako\u0111e koriste napredni zlonamjerni softver i pobolj\u0161ane tehnike izbjegavanja odbrane. Oni kontinuirano a\u017euriraju svoje taktike i alate, uklju\u010duju\u0107i prilago\u0111eni alat za pakovanje zlonamjernog softvera, pokazuju\u0107i aktivan napor da usavr\u0161e svoje metode napada, \u0161to predstavljaju ogroman izazov za organizacije \u0161irom sveta.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Razumijevanjem ovih taktika, organizacije se mogu bolje pripremiti za borbu protiv ovih prijetnji i za\u0161tititi svoje vrijedne podatke od pada u pogre\u0161ne ruke. Da bi se za\u0161titile od ovih prijetnji, organizacije treba da standardizuju <em>VPN<\/em> pristup, obu\u010de zaposlene o prepoznavanju poku\u0161aja dru\u0161tvenog in\u017eenjeringa, standardizuju alate za daljinsko upravljanje okru\u017eenja, implementiraju autentifikaciju u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) i odr\u017eavaju robusne sisteme <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervnih kopija<\/a> za brzi oporavak u slu\u010daju napada. Biti oprezan i proaktivan je klju\u010d za smanjivanje uticaja ovakvih sajber napada.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Black<\/em> <em>Basta grupa <\/em>zlonamjernih je poznata po svojoj sofisticiranoj taktici i naprednim tehnikama dru\u0161tvenog in\u017eenjeringa i zbog toga predstavljaju zna\u010dajan rizik za organizacije \u0161irom sveta. U nastavku slijede korisne preporuke o tome kako da za\u0161tititi organizaciju od <em>Black<\/em> <em>Basta<\/em> <em>ransomware<\/em> kampanje:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Prva linija odbrane od ovakvih prijetnji je obrazovana radna snaga. Trebalo bi sprovoditi redovne sesije obuke kako bi se zaposleni edukovali o prepoznavanju i prijavljivanju <em>phishing<\/em> poku\u0161aja, taktikama dru\u0161tvenog in\u017eenjeringa i bezbjednoj internet praksi. Ovo \u0107e pomo\u0107i osoblju organizacije da identifikuje potencijalne prijetnje prije nego \u0161to nanesu \u0161tetu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sprovoditi strogu kontrolu pristupa unutar mre\u017ee. Ograni\u010dite broj pojedinaca koji imaju administrativne privilegije i osigurajte da svaki korisnik ima minimalni neophodan nivo pristupa osvetljivim podacima ili sistemima. Redovno pregledati ove dozvole da bi se osiguralo da su a\u017eurne i prikladne za ulogu svakog korisnika,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Omogu\u0107iti autentifikaciju u vi\u0161e koraka (<em>MFA<\/em>) gdje god je to mogu\u0107e. Autentifikaciju u vi\u0161e koraka<em> (MFA)<\/em> dodaje jo\u0161 jedan sloj bezbjednosti zahvaljuju\u0107i od korisnika da obezbijede dva ili vi\u0161e faktora za verifikaciju pre pristupa osjetljivim podacima ili sistemima, \u0161to znatno ote\u017eava zlonamjernim akterima da steknu neovla\u0161teni pristup,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno a\u017eurirati i primjenjivati ispravke za softver i sisteme. A\u017euriranja \u010desto uklju\u010duju kriti\u010dne bezbjednosne ispravke koje mogu da za\u0161tite od poznatih ranjivosti koje koriste zlonamjerni akteri kao \u0161to je <em>Black<\/em> <em>Basta<\/em>. Uvjeriti se da su svi ure\u0111aji povezani na mre\u017eu a\u017eurirani, jer zastareli softver predstavlja zna\u010dajan rizik,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Iskoristiti rje\u0161enja tre\u0107e strane za napredne <em>phishing<\/em> simulacija i platforme za obuku da bi se dodatno pobolj\u0161ala odbrana organizacije. Ove platforme obezbje\u0111uju prilago\u0111enu obuku o <em>phishing<\/em> napadima preko elektronske po\u0161te i module sajber svesti koji simuliraju scenarije iz stvarnog sveta, poma\u017eu\u0107i zaposlenima da prepoznaju potencijalne prijetnje i reaguju na odgovaraju\u0107i na\u010din,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razvijati <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovora na sajber prijetnju<\/a> u slu\u010daju da do\u0111e do napada. Plan odgovora na sajber prijetnju navodi korake koje organizacija treba da preduzme kada se otkrije bezbjednosni incident, obezbe\u0111uju\u0107i brz i efikasan odgovor koji smanjuje \u0161tetu i zastoje. Redovno pregledati i a\u017eurirati ovaj plan kako bi se osiguralo da ostaje relevantan i efikasan protiv prijetnji koje se razvijaju kao \u0161to je <em>Black<\/em> <em>Basta<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati robusne sisteme za pra\u0107enje i otkrivanje \u0161irom mre\u017ee organizacije. Ovi alati bi trebalo da budu u stanju da identifikuju neobi\u010dne ili sumnjive aktivnosti, kao \u0161to su poku\u0161aji neovla\u0161tenog pristupa, eksfiltracija podataka ili izvr\u0161avanje zlonamjernog k\u00f4da. Ranim otkrivanjem ovih aktivnosti mogu se preduzeti brze mjere ubla\u017eavanja potencijalne \u0161tete,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno praviti rezervne kopije kriti\u010dnih podataka i sistema, obezbe\u0111uju\u0107i da se rezervne kopije bezbjedno \u010duvaju van lokacije ili u oblaku. U slu\u010daju <em>ransomware <\/em>napada, posjedovanje a\u017euriranih rezervnih kopija omogu\u0107ava brz oporavak bez potrebe za pla\u0107anjem otkupnine koju zahtevaju zlonamjerni akteri kao \u0161to je <em>Black<\/em> <em>Basta<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je biti informisan o novim prijetnjama i taktikama koje koriste grupe kao \u0161to je <em>Black<\/em> <em>Basta<\/em>. Pretplata na renomirane vesti o sajber bezbjednosti, prisustva konferencijama u industriji i saradnja sa drugim organizacijama omogu\u0107avaju dijeljenje informacija i najboljih praksi za odbranu od ovih prijetnji.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Black Basta ransomware grupa je eskalirala svoje napade sa fokusom na sofisticirane taktike dru\u0161tvenog in\u017eenjeringa kao \u0161to su bombardovanje elektronskom po\u0161tom (eng. email bombing), iskori\u0161tavanje QR kodova i la\u017eno predstavljanje IT osoblja, otkriva analiza&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7497,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2470,1133,2472,2474,2471,2473,2112,2476,2475,609],"class_list":["post-7494","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-black-basta-ransomware","tag-data-theft","tag-e-mail-bombing","tag-it-impersonation","tag-microsoft-teams-hack","tag-qr-codes-scam","tag-ransomware-campaign","tag-ransomware-prevention","tag-remote-management-tools","tag-social-engineering"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7494","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7494"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7494\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7497"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7494"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7494"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7494"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}