Mantan anggota yang terikat pada operasi ransomware Basta hitam telah diamati berpegang teguh pada pendekatan pemboman email dan tim Microsoft yang telah dicoba dan diuji untuk membangun akses yang terus-menerus ke jaringan target.
“Baru -baru ini, penyerang telah memperkenalkan eksekusi skrip Python di samping teknik -teknik ini, menggunakan permintaan keriting untuk mengambil dan menggunakan muatan berbahaya,” kata Reliaquest dalam sebuah laporan yang dibagikan dengan Hacker News.
Pengembangan adalah tanda bahwa para aktor ancaman terus berputar dan berkumpul kembali, meskipun merek Basta hitam menderita pukulan besar dan penurunan setelah kebocoran publik log obrolan internal awal Februari ini.
Perusahaan keamanan siber mengatakan setengah dari serangan phishing tim yang diamati antara Februari dan Mei 2025 berasal dari Onmicrosoft[.]domain com, dan domain yang dilanggar itu menyumbang 42% dari serangan selama periode yang sama. Yang terakhir ini jauh lebih tersembunyi dan memungkinkan para aktor ancaman untuk menyamar sebagai lalu lintas yang sah dalam serangan mereka.
Baru -baru ini bulan lalu, pelanggan Reliaquest di sektor keuangan dan asuransi dan sektor konstruksi telah ditargetkan menggunakan phishing tim dengan menyamar sebagai personel desk bantuan untuk menipu pengguna yang tidak curiga.
“Penutupan situs kebocoran data Black Basta, meskipun terus menggunakan taktiknya, menunjukkan bahwa mantan afiliasi kemungkinan telah bermigrasi ke grup RAAS lain atau membentuk yang baru,” tambah perusahaan itu. “Skenario yang paling mungkin adalah bahwa mantan anggota telah bergabung dengan Cactus Raas Group, yang dibuktikan oleh Pemimpin Basta Hitam Trump merujuk pembayaran $ 500-600K ke Cactus dalam obrolan yang bocor.”
Yang mengatakan, perlu dicatat bahwa Cactus belum menyebutkan organisasi apa pun di situs kebocoran datanya sejak Maret 2025, menunjukkan bahwa kelompok tersebut telah dibubarkan atau sengaja berusaha menghindari menarik perhatian pada dirinya sendiri. Kemungkinan lain adalah bahwa afiliasi telah pindah ke Blacklock, yang, pada gilirannya, diyakini telah mulai berkolaborasi dengan kartel ransomware bernama Dragonforce.
Aktor ancaman juga telah terlihat memanfaatkan akses yang diperoleh melalui teknik phishing tim ke sesi desktop jarak jauh awal melalui Quick Assist dan AnyDesk, dan kemudian mengunduh skrip Python berbahaya dari alamat jarak jauh dan melaksanakannya untuk membangun komunikasi perintah-dan-kontrol (C2).
“Penggunaan skrip Python dalam serangan ini menyoroti taktik yang berkembang yang cenderung menjadi lebih umum dalam kampanye phishing tim masa depan dalam waktu dekat,” kata Reliaquest.
Strategi rekayasa sosial bergaya Basta hitam menggunakan kombinasi spamming email, phishing tim, dan bantuan cepat sejak itu juga menemukan pengambil di antara kelompok ransomware hitam, meningkatkan kemungkinan bahwa afiliasi pakaian hitam telah menganut pendekatan atau menyerap anggota kelompok.
Menurut Rapid7, akses awal berfungsi sebagai jalur untuk mengunduh dan menjalankan varian yang diperbarui dari tikus berbasis Java yang sebelumnya digunakan untuk bertindak sebagai pemanen kredensial dalam serangan Basta hitam.
“Malware Java sekarang menyalahgunakan layanan hosting file berbasis cloud yang disediakan oleh Google dan Microsoft untuk perintah proxy melalui masing-masing server penyedia layanan cloud (CSP),” kata perusahaan itu. “Seiring waktu, pengembang malware telah bergeser dari koneksi proxy langsung (yaitu, opsi konfigurasi dibiarkan kosong atau tidak ada), menuju OneDrive dan Google Sheets, dan yang terbaru, untuk hanya menggunakan Google Drive.”
Iterasi baru dari paket malware dalam lebih banyak fitur untuk mentransfer file antara host yang terinfeksi dan server jarak jauh, memulai terowongan proxy Socks5, mencuri kredensial yang disimpan di browser web, menyajikan jendela login Windows palsu, dan mengunduh kelas Java dari URL yang disediakan dan menjalankannya dalam memori.
Seperti serangan ransomware jam 3 pagi yang dirinci oleh Sophos beberapa minggu yang lalu, intrusi juga ditandai dengan penggunaan pintu belakang tunneling yang disebut Qdoor, malware yang sebelumnya dikaitkan dengan Blacksuit, dan muatan karat yang kemungkinan merupakan loader khusus untuk utilitas SSH, dan tikus Python yang disebut anubis.
Temuan datang di tengah sejumlah perkembangan dalam lanskap ransomware –
- Kelompok yang termotivasi secara finansial yang dikenal sebagai Spider yang tersebar telah menargetkan Penyedia Layanan Terkelola (MSP) dan vendor TI sebagai bagian dari pendekatan “satu-ke-banyak” untuk menyusup ke banyak organisasi melalui satu kompromi, dalam beberapa kasus yang mengeksploitasi akun yang dikompromikan dari Global IT Contractor TATA Consultancy Services (TCS) untuk mendapatkan akses awal.
- Spider yang tersebar telah menciptakan halaman login palsu menggunakan Evilginx Phishing Kit untuk memotong otentikasi multi-faktor (MFA) dan aliansi strategis yang dipalsukan dengan operator ransomware besar seperti Alphv (alias BlackCat), RansomHub, dan, yang paling baru, Dragonforce, untuk melakukan serangan canggih yang menargetkan MSP.
- Operator ransomware Qilin (AKA Agenda dan Phantom Mantis) telah meluncurkan kampanye intrusi terkoordinasi yang menargetkan beberapa organisasi antara Mei dan Juni 2025 dengan mempersenjatai kerentanan Fortinet Fortigate (misalnya, CVE-2024-21762 dan CVE-2024-55591) untuk akses awal.
- Group ransomware drama (alias BalloVly dan PlayCrypt) diperkirakan telah mengganggu 900 entitas pada Mei 2025 sejak munculnya pada pertengahan 2022. Beberapa serangan telah memanfaatkan cacat SimpleHelp (CVE-2024-57727) untuk menargetkan banyak entitas yang berbasis di AS setelah pengungkapan kerentanan publik.
- Administrator VanHelsing Ransomware Group telah membocorkan seluruh kode sumber di Forum Ramp, mengutip konflik internal antara pengembang dan kepemimpinan. Detail yang bocor termasuk Tor Keys, kode sumber ransomware, panel web admin, sistem obrolan, server file, dan blog dengan basis data lengkapnya, per prodaft.
- Interlock Ransomware Group telah menggunakan JavaScript Remote Access yang sebelumnya tidak berdokumen Trojan yang disebut Nodesnake sebagai bagian dari serangan yang menargetkan pemerintah daerah dan organisasi pendidikan tinggi di Inggris pada bulan Januari dan Maret 2025. Malware, yang didistribusikan melalui email phishing, menawarkan akses yang terus -menerus, pengembalian ulang sistem, dan penurunan paba.
“Tikus memungkinkan penyerang untuk mendapatkan kendali jarak jauh atas sistem yang terinfeksi, memungkinkan mereka untuk mengakses file, memantau kegiatan, dan memanipulasi pengaturan sistem,” kata Quorum Cyber. “Aktor ancaman dapat menggunakan tikus untuk mempertahankan kegigihan dalam suatu organisasi serta untuk memperkenalkan alat tambahan atau malware ke lingkungan. Mereka juga dapat mengakses, memanipulasi, menghancurkan, atau mengeluarkan data.”
