Black Basta fidye yazılımı grubu, ilk uzlaşma vektörü olarak bir .IMG dosyası kullanarak agresif ve yaygın bir kampanya yürütmek için Qakbot kötü amaçlı yazılımını (QBot veya Pinkslipbot olarak da bilinir) kullanıyor.
Kampanya, son iki haftada 10’dan fazla farklı müşteriyi hedef aldı ve ağırlıklı olarak ABD merkezli şirketlere odaklandı.
göre bir tehdit danışmanlığı Cybereason Global SOC (GSOC) tarafından 23 Kasım’da yayınlanan bu enfeksiyonlar, Black Basta’nın kurbanların ağlarında varlığını sürdürmek için birincil yöntem olarak Qakbot’u konuşlandırmasıyla, kötü amaçlı URL bağlantıları içeren bir spam veya kimlik avı e-postasıyla başlıyor.
Raporda, “Bu son kampanyada, Black Basta fidye yazılımı çetesi, bir ilk giriş noktası oluşturmak ve bir kuruluşun ağında yatay olarak hareket etmek için Qakbot kötü amaçlı yazılımını kullanıyor.”
Qakbot bir bankacılık Truva Atı olarak yola çıkmış olsa da farklı gruplar, onu bilgi hırsızı, arka kapı ve indirici olarak kullanarak ek modüllerle yeteneklerini artırdı. Qakbot ayrıca yakın zamanda kötü amaçlı yükünü teslim etme yöntemini JavaScript’ten VBS’ye değiştirdi.
Araştırma ekibi, “Tehdit aktörünün, uzlaşma sırasında etki alanı denetleyicisine uzaktan erişim elde etmek için Cobalt Strike kullandığını da gözlemledik” dedi. “Sonunda, fidye yazılımı konuşlandırıldı ve ardından saldırgan, EDR ve antivirüs programları gibi güvenlik mekanizmalarını devre dışı bıraktı.”
Rapor, iki saatin altında alan yöneticisi ayrıcalıklarını aldıktan sonra yarım günden daha kısa bir sürede devreye alınan fidye yazılımları ile saldırıların gerçekleşme hızını öne çıkarıyor.
Birden fazla saldırıda GSOC ekibi, tehdit aktörünün DNS hizmetlerini devre dışı bıraktığını, kurbanı ağ dışında kilitlediğini ve kurtarmayı zorlaştırdığını gözlemledi.
Raporda, “Tüm bu gözlemler göz önüne alındığında, güvenlik ve tespit ekiplerinin bu kampanyaya dikkat etmelerini öneriyoruz çünkü bu, hızla ciddi BT altyapısı hasarına yol açabilir.”
Rapor, kuruluşları kötü amaçlı ağ bağlantılarını belirlemeye ve engellemeye, Active Directory erişimini sıfırlamaya, olay müdahalesini devreye almaya ve virüs bulaşmış tüm makineleri izole etmeyi ve yeniden görüntülemeyi içeren güvenliği ihlal edilmiş makineleri temizlemeye teşvik ediyor.
Qakbot, Yetenekler Ekleyerek İşlemleri Hızlandırıyor
Qakbot grubu son zamanlarda operasyonlarını hızlandırdı, sistemlere bulaştı, saldırı çerçeveleri kurdu ve Black Basta dahil diğer gruplara erişim sattı.
Eylül ayında, hizmet olarak erişim ağını genişletmeye yeniden başladı ve Emotet kötü amaçlı yazılımı ve iki popüler saldırı platformu da dahil olmak üzere ortak ikinci aşama yükleri olan yüzlerce şirketi başarıyla tehlikeye attı.
Haziran ayında, Qakbot operatörlerinin, tespit edilmekten kaçınmak için meşru ve kötü amaçlı dosyaları ortak bir dizine yerleştiren bir teknik olan kötü amaçlı yazılım dağıtmak için DLL yandan yüklemeyi kullandığı gözlemlendi.
FIN7 Tarafından Desteklenen Siyah Basta
Bu yılın en üretken fidye yazılımı ailelerinden biri olan Black Basta, hizmet olarak fidye yazılımı (RaaS) teklifini çeşitli yeraltı forumlarında sunuyor;
Grup, en az Şubat ayından beri aktif, ancak yalnızca iki ay sonra kurumsal Linux sunucularında çalışan VMware ESXi sanal makinelerini hedef alarak hedeflenen bir birim klasörü içindeki dosyaları şifrelediği keşfedildi. Grup, küresel ölçekte İngilizce konuşulan ülkeleri hedef aldı.
SentinelOne’daki araştırmacılara göre, Black Basta’nın arkasında 2012’de ortaya çıktığından beri 1,2 milyar dolardan fazla para çaldığı tahmin edilen finansal amaçlarla hareket eden bir siber suç örgütü olan FIN7’nin yakın zamanda kanıtlar ortaya çıktı.