Операторы Black Basta переходят на email-бомберы и социальную инженерию - «Новости»
- 10:30, 11-дек-2024
- Новости / Заработок / Добавления стилей / Преимущества стилей / Вёрстка
- Фелицата
- 0
По данным Rapid7, в октябре 2024 года злоумышленники, связанные с вымогателем Black Basta, начали менять тактику. Теперь они используют социальную инженерию и распространяют различные полезные нагрузки, например Zbot и DarkGate.
Эксперты сообщают, что теперь атаки обычно начинаются с email-бомбера: жертву подписывают на множество почтовых рассылок, а затем преступники связываются с пострадавшим. Контакт обычно происходит через Microsoft Teams, с помощью которого злоумышленник (как внешний пользователь) пытается позвонить или отправить сообщение жертве, якобы предлагая помощь.
Хакеры используют домены Azure/Entra (например, username[@]tenantsubdomain[.]onmicrosoft[.]com), а также кастомные домены (например, username[@]cofincafe[.]com).
Зачастую атакующие выдают себя за сотрудников службы поддержки целевой организации или представляются сотрудниками ИТ-отдела.
Если пользователь идет на контакт с мошенником, ему настоятельно рекомендуют установить легитимное ПО для удаленного доступа: AnyDesk, ScreenConnect, TeamViewer или Quick Assist.
При этом иногда вымогатели пытаются использовать клиент OpenSSH для создания реверс-шелла, а также были замечены случи передачи жертвам вредоносных QR-кодов через чаты. Таким способом атакующие стремятся похитить учетные данные человека (под предлогом добавления доверенного мобильного устройства).
Стоит отметить, что аналитики компании ReliaQuest, которые тоже наблюдали подобную кампанию, полагают, что QR-коды могут использоваться и для дальнейшего направления жертв во вредоносную инфраструктуру атакующих.
В итоге удаленный доступ, полученный за счет установки AnyDesk (или другого аналогичного софта), используется хакерами для доставки на скомпрометированный хост дополнительных полезных нагрузок, включая кастомную малварь для сбора учетных данных, Zbot (он же ZLoader) и DarkGate, которые могут служить шлюзом для последующих атак.
«Основная цель после получения первоначального доступа, похоже, остается прежней: быстро просмотреть окружение и выгрузить учетные данные пользователя, — пишут в Rapid7. — По возможности злоумышленники также стараются украсть все доступные файлы конфигурации VPN. Имея учетные данные пользователя, информацию о VPN организации и потенциальный обход многофакторной аутентификации, они могут напрямую аутентифицироваться в целевой среде».
Напомним, что Black Basta работает по схеме Ransomware-as-a-Service («Вымогатель-как-услуга», RaaS) с апреля 2022 года. За это время операторы малвари атаковали множество известных организаций, включая немецкого оборонного подрядчика Rheinmetall, европейское подразделение Hyundai, компанию ABB, Knauf, Публичную библиотеку Торонто, Американскую ассоциацию стоматологов, Sobeys и Yellow Pages Canada и так далее.
ИБ-специалисты полагают, Black Basta является ребрендингом известной хак-группы Conti: на это указывают сходства используемых техник хакеров и стилей ведения переговоров.
Комментарии (0)