Pelaku ancaman yang terkait dengan ransomware Black Basta terlihat mengubah taktik rekayasa sosial mereka, mendistribusikan serangkaian muatan berbeda seperti Zbot dan DarkGate sejak awal Oktober 2024.
“Pengguna dalam lingkungan target akan dibom melalui email oleh pelaku ancaman, yang sering kali dilakukan dengan mendaftarkan email pengguna ke beberapa milis secara bersamaan,” kata Rapid7. “Setelah bom email, pelaku ancaman akan menghubungi pengguna yang terkena dampak.”
Seperti yang diamati pada bulan Agustus, penyerang melakukan kontak awal dengan calon target di Microsoft Teams, berpura-pura menjadi personel pendukung atau staf TI organisasi. Dalam beberapa kasus, mereka juga terlihat meniru identitas anggota staf TI dalam organisasi sasaran.
Pengguna yang akhirnya berinteraksi dengan pelaku ancaman didesak untuk menginstal perangkat lunak akses jarak jauh yang sah seperti AnyDesk, ScreenConnect, TeamViewer, dan Quick Assist Microsoft. Pembuat Windows sedang melacak kelompok penjahat dunia maya di balik penyalahgunaan Quick Assist untuk penerapan Black Basta dengan nama Storm-1811.
Rapid7 mengatakan pihaknya juga mendeteksi upaya yang dilakukan oleh kru ransomware untuk memanfaatkan klien OpenSSH untuk membuat shell terbalik, serta mengirimkan kode QR berbahaya ke pengguna korban melalui obrolan untuk kemungkinan mencuri kredensial mereka dengan dalih menambahkan ponsel tepercaya. perangkat.
Namun, perusahaan keamanan siber ReliaQuest, yang juga melaporkan kampanye yang sama, berteori bahwa kode QR digunakan untuk mengarahkan pengguna ke infrastruktur berbahaya lainnya.
Akses jarak jauh yang difasilitasi oleh instalasi AnyDesk (atau yang setara) kemudian digunakan untuk mengirimkan muatan tambahan ke host yang disusupi, termasuk program pengumpulan kredensial khusus yang diikuti dengan eksekusi Zbot (alias ZLoader) atau DarkGate, yang dapat berfungsi sebagai gerbang untuk serangan lanjutan.
“Tujuan keseluruhan setelah akses awal tampaknya sama: untuk menghitung lingkungan dengan cepat dan membuang kredensial pengguna,” kata peneliti keamanan Rapid7 Tyler McGraw.
“Jika memungkinkan, operator juga akan tetap berusaha mencuri file konfigurasi VPN apa pun yang tersedia. Dengan kredensial pengguna, informasi VPN organisasi, dan potensi bypass MFA, mereka dapat melakukan autentikasi langsung ke lingkungan target.”
Black Basta muncul sebagai kelompok otonom dari abu Conti setelah penutupan Conti pada tahun 2022, awalnya mengandalkan QakBot untuk menyusup ke target, sebelum melakukan diversifikasi ke teknik rekayasa sosial. Pelaku ancaman, yang juga disebut sebagai UNC4393, telah menggunakan berbagai jenis malware yang telah dibuat khusus untuk mencapai tujuannya –
- KNOTWRAP, dropper khusus memori yang ditulis dalam C/C++ yang dapat mengeksekusi payload tambahan di memori
- KNOTROCK, utilitas berbasis .NET yang digunakan untuk mengeksekusi ransomware
- DAWNCRY, dropper khusus memori yang mendekripsi sumber daya yang tertanam ke dalam memori dengan kunci yang dikodekan secara keras
- PORTYARD, terowongan yang membuat koneksi ke server perintah dan kontrol (C2) berkode keras menggunakan protokol biner khusus melalui TCP
- COGSCAN, rakitan pengintaian .NET yang digunakan untuk mengumpulkan daftar host yang tersedia di jaringan
“Evolusi Black Basta dalam penyebaran malware menunjukkan pergeseran aneh dari pendekatan yang sepenuhnya bergantung pada botnet ke model hibrida yang mengintegrasikan rekayasa sosial,” kata Yelisey Bohuslavskiy dari RedSense.
Pengungkapan ini terjadi ketika Check Point merinci analisisnya terhadap varian Rust yang diperbarui dari ransomware Akira, menyoroti ketergantungan pembuat malware pada kode boilerplate siap pakai yang terkait dengan perpustakaan dan peti pihak ketiga seperti indicatif, Rust-crypto, dan kuda laut.
Serangan Ransomware juga menggunakan varian ransomware Mimic yang disebut Elpaco, sedangkan infeksi Rhysida juga menggunakan CleanUpLoader untuk membantu eksfiltrasi dan persistensi data. Malware ini sering kali menyamar sebagai penginstal perangkat lunak populer, seperti Microsoft Teams dan Google Chrome.
“Dengan membuat domain yang salah ketik menyerupai situs pengunduhan perangkat lunak populer, Rhysida menipu pengguna agar mengunduh file yang terinfeksi,” kata Recorded Future. “Teknik ini sangat efektif bila dipadukan dengan SEO Poisoning, yang mana domain-domain ini berperingkat lebih tinggi dalam hasil mesin pencari, menjadikannya muncul sebagai sumber unduhan yang sah.”
