Η συμμορία ransomware Black Basta έχει δείξει ανθεκτικότητα και ικανότητα προσαρμογής σε έναν συνεχώς μεταβαλλόμενο χώρο, χρησιμοποιώντας νέα προσαρμοσμένα εργαλεία και τακτικές για να αποφύγει τον εντοπισμό και να εξαπλωθεί σε ένα δίκτυο.

Δείτε επίσης: Σφάλμα VMware ESXi χρησιμοποιείται σε επιθέσεις ransomware

Η Black Basta είναι μία ομάδα ransomware που είναι ενεργή από τον Απρίλιο του 2022 και είναι υπεύθυνη για περισσότερες από 500 επιτυχημένες επιθέσεις σε εταιρείες παγκοσμίως. Η ομάδα ransomware ακολουθεί μια στρατηγική διπλού εκβιασμού, που συνδυάζει κλοπή δεδομένων και κρυπτογράφηση και απαιτεί μεγάλες πληρωμές λύτρων. Η συμμορία συνεργάστηκε στο παρελθόν με το botnet QBot για να αποκτήσει αρχική πρόσβαση στα εταιρικά δίκτυα.

Ωστόσο, μετά τη διακοπή του botnet QBot από τις αρχές επιβολής του νόμου, η Mandiant αναφέρει ότι η συμμορία ransomware έπρεπε να δημιουργήσει νέες συνεργασίες για να παραβιάζει εταιρικά δίκτυα. Επιπλέον η Mandiant, έχει εντοπίσει νέο κακόβουλο λογισμικό και εργαλεία που χρησιμοποιούνται στις επιθέσεις Black Basta, επιδεικνύοντας την εξέλιξη και την ανθεκτικότητά τους.

Η συμμορία ransomware Black Basta είχε μια ενεργή χρονιά μέχρι στιγμής, θέτοντας σε κίνδυνο αξιόλογες οντότητες όπως η Veolia North America, η Hyundai Motor Europe και η Keytronic.

Η πολυπλοκότητα της ομάδας απειλών αντικατοπτρίζεται στο γεγονός ότι έχει συχνά πρόσβαση σε εκμεταλλεύσεις ευπάθειας zero-day, συμπεριλαμβανομένης της αύξησης των προνομίων των Windows (2024-26169) και των ελαττωμάτων παράκαμψης ελέγχου ταυτότητας VMware ESXi (CVE-2024-37085).

Η Mandiant αναφέρει ότι το Black Basta σταδιακά άλλαξε από τη χρήση διαθέσιμων στο κοινό εργαλείων σε προσαρμοσμένο κακόβουλο λογισμικό που έχει αναπτυχθεί εσωτερικά.

Δείτε ακόμα: Ερευνητές εισέβαλαν στο Cloud Storage του Medusa Ransomware

Στις αρχές του 2024, η ομάδα παρατηρήθηκε να αναπτύσσει ένα προσαρμοσμένο memory-only dropper, με το όνομα DawnCry. Αυτό το dropper ξεκίνησε μια μόλυνση πολλαπλών σταδίων, ακολουθούμενη από το DaveShell, το οποίο τελικά οδήγησε στο Tunneler PortYard.

Το PortYard, επίσης ένα προσαρμοσμένο εργαλείο, δημιουργεί συνδέσεις με την υποδομή εντολών και ελέγχου (C2) του Black Basta ransomware και την κυκλοφορία διακομιστών μεσολάβησης.

Άλλα αξιοσημείωτα προσαρμοσμένα εργαλεία που χρησιμοποιούνται από την Black Basta σε πρόσφατες λειτουργίες είναι:

  • CogScan: Ένα εργαλείο αναγνώρισης .NET που χρησιμοποιείται για τη συλλογή μιας λίστας κεντρικών υπολογιστών που είναι διαθέσιμοι στο δίκτυο και τη συλλογή πληροφοριών συστήματος.
  • SystemBC: Ένα tunneler που ανακτά εντολές που σχετίζονται με διακομιστές μεσολάβησης από έναν διακομιστή C2, χρησιμοποιώντας ένα προσαρμοσμένο δυαδικό πρωτόκολλο μέσω TCP.
  • KnockTrock: Ένα βοηθητικό πρόγραμμα που βασίζεται σε .NET που δημιουργεί συμβολικούς συνδέσμους σε κοινόχρηστα στοιχεία δικτύου και εκτελεί το εκτελέσιμο λογισμικό BASTA ransomware, παρέχοντάς του τη διαδρομή προς τον νεοδημιουργημένο συμβολικό σύνδεσμο.
  • KnowTrap: Ένα dropper μόνο για μνήμη γραμμένο σε C/C++ που μπορεί να εκτελέσει ένα επιπλέον ωφέλιμο φορτίο στη μνήμη.

Σε συνδυασμό με τα παραπάνω, το Black Basta συνεχίζει να χρησιμοποιεί δυαδικά αρχεία “living off the land” και άμεσα διαθέσιμα εργαλεία στις τελευταίες του επιθέσεις, συμπεριλαμβανομένου του βοηθητικού προγράμματος γραμμής εντολών των Windows certutil για λήψη του SilentNight και του εργαλείου Rclone για την εξαγωγή δεδομένων.

Συνολικά, το Black Basta παραμένει μια σημαντική παγκόσμια απειλή και ένας από τους κορυφαίους παίκτες στον χώρο του ransomware.

Δείτε επίσης: Το Columbus και άλλες πόλεις θύματα επιθέσεων ransomware

Οι επιθέσεις ransomware έχουν γίνει μια από τις πιο επικίνδυνες μορφές κυβερνοεγκλήματος στον σύγχρονο κόσμο. Αυτού του είδους οι επιθέσεις περιλαμβάνουν τη μόλυνση ενός υπολογιστή ή δικτύου με κακόβουλο λογισμικό, το οποίο κρυπτογραφεί τα δεδομένα του θύματος και απαιτεί πληρωμή για να αποκτήσει ξανά πρόσβαση σε αυτά. Οι στόχοι ποικίλλουν από ατομικούς χρήστες μέχρι μεγάλες εταιρείες και κυβερνητικούς οργανισμούς, προκαλώντας σοβαρές οικονομικές και λειτουργικές ζημιές. Η πρόληψη αυτών των επιθέσεων απαιτεί προσεκτική πολιτική ασφαλείας, τακτικά backups και εκπαίδευση των χρηστών για την αναγνώριση ύποπτων δραστηριοτήτων.

Πηγή: bleepingcomputer