Black Basta ransomware kampanja

Black Basta ransomware grupa je eskalirala svoje napade sa fokusom na sofisticirane taktike društvenog inženjeringa kao što su bombardovanje elektronskom poštom (eng. email bombing), iskorištavanje QR kodova i lažno predstavljanje IT osoblja, otkriva analiza sigurnosne kompanije Rapid7. Ova kampanja, koja je počela početkom oktobra 2024. godine, uključuje preopterećenje korisnika sa prevelikim brojem neželjenih elektronskih poruka (bombardovanje elektronskom poštom) kako bi se stvorio haos, nakon čega sledi kontakt od zlonamjernog aktera koji se predstavlja kao podrška ili IT osoblje koje nudi pomoć.

Black Basta Ransomware

Black Basta ransomware kampanja; Source: Bing Image Creator

BLACK BASTA

Grupa zlonamjernih aktera koja stoji iza Black Basta ransomware zlonamjernog softvera je veoma sposobna i tajnovita, ispoljava slične karakteristike kao privatne grupe kao što su Conti, TA505 i Evil Corp. Oni preferiraju ciljani pristup u odnosu na sveobuhvatne taktike prskanja i hvatanja plena, pedantno procjenjujući svoje žrtve pre nego što krenu u napad. Grupa ili isključuje filijale ili sarađuje samo sa ograničenim brojem pouzdanih.

Sam ransomware zlonamjerni softver je napisan u C++ programskom jeziku i funkcioniše po modelu ransomware kao usluga (eng. Ransomware-as-a-Service – RaaS), koji se prvi put pojavio još u aprilu 2022. godine. Kreatori ovog zlonamjernog softvera pokazali su interesovanje ne samo za ciljanje organizacija u Sjedinjenim Američkim Državama, već i onih u Australiji, Kanadi, Novom Zelandu, Ujedinjenom Kraljevstvu, Njemačkoj, Švajcarskoj, Italiji, Francuskoj i Holandiji.

Black Basta grupa je povezan sa FIN7 (Carbanak) grupom zlonamjernih aktera zbog zajedničkih prilagođenih modula za izbjegavanje softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) i preklapanja upotrebe IP adresa za komandne i kontrolne (C2) operacije. Operateri koriste tehniku dvostrukog iznuđivanja, šifrovanje datoteka na ciljanim sistemima, a istovremeno održavaju mračnu internet lokaciju za objavu na kojoj prijete da će objaviti osjetljive informacije ako se ne plati otkup.

 

Nova kampanja

Najnovija kampanja faza Black Basta ransomware zlonamjernog softvera uključuje prefinjene procedure društvenog inženjeringa, napredni zlonamjerni softver i poboljšane tehnike izbjegavanja odbrane. Ova kampanja je počela početkom oktobra 2024. godine i predstavlja značajnu prijetnju organizacijama širom sveta zbog napredne prirode ovih tehnika.

 

Taktike društvenog inžinjeringa

Taktike društvenog inženjeringa kampanje Black Basta ransomware zlonamjernog softvera odnose se na niz metoda koje koriste zlonamjerni akteri da bi kompromitovali ciljane sisteme, prvenstveno kroz iskorištavanje ljudskih ranjivosti, a ne tehničkih slabosti. Ove taktike su dizajnirane da manipulišu pojedincima unutar organizacije da odaju osjetljive informacije ili nesvjesno izvrše zlonamjerni softver. Tako da u ovoj kampanji govorimo o:

 

Bombardovanje elektronskom poštom

Zlonamjerni akteri su započinjali napade na ogroman broj korisnika sa baražom neželjenih elektronskih poruka, što je taktika poznata kao bombardovanje elektronskom poštom. Ovaj metod uključuje preopterećenje pojedinca ili organizacije prevelikim brojem neželjenih elektronskih poruka kako bi se stvorila zabuna i povećala vjerovatnoća da će odgovoriti na zlonamjerne komunikacije.

Proces bombardovanja putem elektronske pošte počinje kada zlonamjerni akteri pretplate adresu elektronske pošte žrtve na brojne liste za slanje elektronske pošte, što rezultira prilivom neželjenih poruka. Ogroman obim ovih elektronskih poruka može brzo da preplavi prijemno sanduče primaoca, što mu otežava upravljanje korespondencijom i razlikovanje legitimne komunikacije od zlonamjerne.

Cilj ove taktike je da se stvori stanje haosa koje žrtvu čini podložnijom napadima društvenog inženjeringa. Ova tehnika može biti posebno efikasna kada se kombinuje sa drugim taktikama društvenog inženjeringa kao što su lažno predstavljanje ili phishing pokušajima.

 

Lažno predstavljanje

Usred ovog haosa, Black Basta zlonamjerni akteri kontaktiraju žrtve, često preko Microsoft Teams aplikacije, predstavljajući se kao podrška ili IT osoblje koje nudi pomoć. Prikazana imena koja koriste ovi operateri mogu uključivati i imena i prezimena, koja odražavaju imena stvarnog IT osoblja u ciljnoj organizaciji. Upotreba legitimno zvučnih imena za prikaz ima za cilj da dodatno obmane korisnike da vjeruju da je zlonamjerni akter član njihove organizacije od povjerenja.

Ako korisnik stupi u interakciju sa zlonamjernim akterom, on će pokušati da ga ubijedi da instalira ili izvrši alatku za daljinsko upravljanje (eng. remote management – RMM) kao što su QuickAssist, AnyDesk, TeamViewer, Level i ScreenConnect. Ovi alati omogućavaju zlonamjernim akterima pristup sistemu žrtve, omogućavajući im da preuzmu korisne podatke (eng. payloads) sa svoje infrastrukture, dobiju korisničke akreditive i održavaju uporan pristup ciljanim sredstvima za dalju eksploataciju.

 

QR kodovi

Primijećeno je kako Black Basta grupa koristi i QR kôdove kao dio njihove taktike društvenog inženjeringa za krađu akreditiva i potencijalnu eksfiltraciju podataka. Upotreba ovih zlonamjernih QR kôdova služi za ugrožavanje bezbjednosti žrtve tako što ih navodi da skeniranju kôd. U najmanje jednom slučaju, zlonamjerni akter je podijelio QR kôd sa svojim ciljanim korisnikom, gdje je primijećeno da se ovi kôdovi mogu prilagoditi za svaki cilj na osnovu naziva kompanije i drugih informacija za identifikaciju.

Jednom kada žrtva skenira ovaj zlonamjerni QR kôd, to može dovesti do krađe akreditiva ili usmjeravanja na zlonamjernu infrastrukturu, čime se dodatno ugrožava njihova bezbjednost. Mehanizam pomoću kojeg ovi QR kôdovi funkcionišu može uključivati preusmjeravanje korisnika na phishing internet stranice dizajnirane da prihvate akreditive za prijavu ili instaliranje dodatnih korisnih podataka zlonamjernog softvera na uređaj žrtve.

 

Zlonamjerni softver

Tokom kampanje društvenog inženjeringa koju sprovode Black Basta zlonamjerni akteri, primijećeno je da koriste različite vrste zlonamjernog softvera. Upotreba ovih alata pomaže zlonamjernim akterima da izbjegnu otkrivanje i efikasnije izvedu svoje napade. U ovo kampanji se mogu istaknuti:

 

Zbot zlonamjerni softver

Ovaj zlonamjerni softver je takođe poznat kao Zeus ili Zues Trojan i on je vrsta kradljivaca informacija koja je prvi put otkrivena 2007. godine. Ovaj zlonamjerni softver je često prerušen u naizgled bezopasan QR kôd, koji su žrtve prevarene da skeniranju pod lažnim izgovorom. Jednom aktiviran, ovaj zlonamjerni softver može dovesti do krađe akreditiva ili usmjeravanja korisnika ka zlonamjernoj infrastrukturi, ugrožavajući njihovu bezbjednost.

Zbot zlonamjerni softver služi kao ključna odskočna daska u Black Basta lancu napada. Krađom korisničkih akreditiva i VPN informacija organizacije, zlonamjerni akteri dobijaju pristup ciljnim okruženjima. Ovo im potencijalno omogućava da se autentifikuju direktno u ciljane sisteme, povećavajući njihove šanse da uspješno izvrše ransomware napad.

 

DarkGate zlonamjerni softver

DarkGate je trojanac za daljinski pristup (eng. remote access trojan – RAT) koji je prvi put otkriven 2016. godine i godinama je bio povezan sa različitim grupama sajber kriminala. DarkGate može da obavlja razne zlonamjerne aktivnosti kao što su praćenje korisničkog unosa (eng. keylogging), daljinsko izvršavanje kôda, povećanje privilegija, izbjegavanje otkrivanja, krađu podataka i daljinsko upravljanje zaraženim sistemima.

Poznat je po svojoj sposobnosti da izbjegne otkrivanje korištenjem više instanci samog sebe unutar instanci procesa. Jednom instaliran, sakriva svoje zlonamjerno ponašanje ubrizgavajući se u različite procese. Jedan od intrigantnijih aspekata DarkGate zlonamjernog softvera je njegova sposobnost da ponovo inficira sistem koristeći Autoit, AutoHotkey ili DLL teret. Ova otpornost čini izazovom potpuno iskorjenjivanje ovog zlonamjernog softvera kada se jednom uvede u mrežu.

 

Prilagođeni zlonamjerni softver

Primijećeno je da su Black Basta zlonamjerni prilagođeni alat za pakovanje za prikrivanje njihovih uzoraka zlonamjernog softvera pre distribucije. Ova tehnika im pomaže da izbjegnu otkrivanje od strane bezbjednosnog softvera, jer su originalna struktura kôda i ponašanje skriveni od analize. Black Basta takođe koristi prilagođeni sakupljač akreditiva za prikupljanje korisničkih akreditiva sa kompromitovanih sistema.

Ovi alati se neprekidno ažuriraju tokom vremena kao dio stalnih napora ove zlonamjerne grupe da ostanu neotkriveni i efikasni u svojim zlonamjernim aktivnostima.

 

Uticaj

Uticaj Black Basta ransomware kampanje je da može dovesti do ugrožavanja podataka i kompromitovanja sistema za ciljane organizacije. To može dovesti do gubitka osjetljivih informacija, zastoja zbog šifrovanih sistema, finansijskih gubitaka od otkupnina koje zahtevaju zlonamjerni akteri, potencijalne štete po reputaciju i problema sa usklađenošću ako procure lični ili povjerljivi podaci.

Taktike eskalacije koje koristi Black Basta, kao što su bombardovanje elektronskom poštom, prevare sa QR kôdom i napadi društvenog inženjeringa, čine organizacijama izazovnijim da se efikasno zaštite. Pored toga, korištenje prilagođenih sakupljača akreditiva, naprednih metoda isporuke i sofisticiranih alata za pakovanje otežava bezbjednosnim rješenjima da efikasno otkriju i spriječe ove napade. Sve ovo predstavlja prijetnju organizacijama u različitim industrijama.

 

ZAKLJUČAK

Najnovija kampanja faza Black Basta ransomware zlonamjernog softvera predstavlja značajnu prijetnju u okviru sajber bezbjednosti. Zlonamjerni akteri su intenzivirali svoje taktike društvenog inženjeringa i sada koriste Microsoft Teams za isporuku zlonamjernih korisnih podataka, predstavljajući se kao članovi IT osoblja da prevare korisnike da instaliraju alate za daljinsko upravljanje ili pokretanje štetnih programa.

Ove radnje mogu dovesti do krađe akreditiva, VPN konfiguracija i daljeg postavljanja dodatnog tereta kao što su sakupljači akreditiva ili ransomware zlonamjerni softver. Zlonamjerni akteri takođe koriste napredni zlonamjerni softver i poboljšane tehnike izbjegavanja odbrane. Oni kontinuirano ažuriraju svoje taktike i alate, uključujući prilagođeni alat za pakovanje zlonamjernog softvera, pokazujući aktivan napor da usavrše svoje metode napada, što predstavljaju ogroman izazov za organizacije širom sveta.

Razumijevanjem ovih taktika, organizacije se mogu bolje pripremiti za borbu protiv ovih prijetnji i zaštititi svoje vrijedne podatke od pada u pogrešne ruke. Da bi se zaštitile od ovih prijetnji, organizacije treba da standardizuju VPN pristup, obuče zaposlene o prepoznavanju pokušaja društvenog inženjeringa, standardizuju alate za daljinsko upravljanje okruženja, implementiraju autentifikaciju u više koraka (eng. multi-factor authentication – MFA) i održavaju robusne sisteme rezervnih kopija za brzi oporavak u slučaju napada. Biti oprezan i proaktivan je ključ za smanjivanje uticaja ovakvih sajber napada.

 

ZAŠTITA

Black Basta grupa zlonamjernih je poznata po svojoj sofisticiranoj taktici i naprednim tehnikama društvenog inženjeringa i zbog toga predstavljaju značajan rizik za organizacije širom sveta. U nastavku slijede korisne preporuke o tome kako da zaštititi organizaciju od Black Basta ransomware kampanje:

  1. Prva linija odbrane od ovakvih prijetnji je obrazovana radna snaga. Trebalo bi sprovoditi redovne sesije obuke kako bi se zaposleni edukovali o prepoznavanju i prijavljivanju phishing pokušaja, taktikama društvenog inženjeringa i bezbjednoj internet praksi. Ovo će pomoći osoblju organizacije da identifikuje potencijalne prijetnje prije nego što nanesu štetu,
  2. Sprovoditi strogu kontrolu pristupa unutar mreže. Ograničite broj pojedinaca koji imaju administrativne privilegije i osigurajte da svaki korisnik ima minimalni neophodan nivo pristupa osvetljivim podacima ili sistemima. Redovno pregledati ove dozvole da bi se osiguralo da su ažurne i prikladne za ulogu svakog korisnika,
  3. Omogućiti autentifikaciju u više koraka (MFA) gdje god je to moguće. Autentifikaciju u više koraka (MFA) dodaje još jedan sloj bezbjednosti zahvaljujući od korisnika da obezbijede dva ili više faktora za verifikaciju pre pristupa osjetljivim podacima ili sistemima, što znatno otežava zlonamjernim akterima da steknu neovlašteni pristup,
  4. Redovno ažurirati i primjenjivati ispravke za softver i sisteme. Ažuriranja često uključuju kritične bezbjednosne ispravke koje mogu da zaštite od poznatih ranjivosti koje koriste zlonamjerni akteri kao što je Black Basta. Uvjeriti se da su svi uređaji povezani na mrežu ažurirani, jer zastareli softver predstavlja značajan rizik,
  5. Iskoristiti rješenja treće strane za napredne phishing simulacija i platforme za obuku da bi se dodatno poboljšala odbrana organizacije. Ove platforme obezbjeđuju prilagođenu obuku o phishing napadima preko elektronske pošte i module sajber svesti koji simuliraju scenarije iz stvarnog sveta, pomažući zaposlenima da prepoznaju potencijalne prijetnje i reaguju na odgovarajući način,
  6. Razvijati plan odgovora na sajber prijetnju u slučaju da dođe do napada. Plan odgovora na sajber prijetnju navodi korake koje organizacija treba da preduzme kada se otkrije bezbjednosni incident, obezbeđujući brz i efikasan odgovor koji smanjuje štetu i zastoje. Redovno pregledati i ažurirati ovaj plan kako bi se osiguralo da ostaje relevantan i efikasan protiv prijetnji koje se razvijaju kao što je Black Basta,
  7. Implementirati robusne sisteme za praćenje i otkrivanje širom mreže organizacije. Ovi alati bi trebalo da budu u stanju da identifikuju neobične ili sumnjive aktivnosti, kao što su pokušaji neovlaštenog pristupa, eksfiltracija podataka ili izvršavanje zlonamjernog kôda. Ranim otkrivanjem ovih aktivnosti mogu se preduzeti brze mjere ublažavanja potencijalne štete,
  8. Redovno praviti rezervne kopije kritičnih podataka i sistema, obezbeđujući da se rezervne kopije bezbjedno čuvaju van lokacije ili u oblaku. U slučaju ransomware napada, posjedovanje ažuriranih rezervnih kopija omogućava brz oporavak bez potrebe za plaćanjem otkupnine koju zahtevaju zlonamjerni akteri kao što je Black Basta,
  9. Potrebno je biti informisan o novim prijetnjama i taktikama koje koriste grupe kao što je Black Basta. Pretplata na renomirane vesti o sajber bezbjednosti, prisustva konferencijama u industriji i saradnja sa drugim organizacijama omogućavaju dijeljenje informacija i najboljih praksi za odbranu od ovih prijetnji.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.