Se ha observado que los actores de amenazas vinculados al ransomware Black Basta cambiaron sus tácticas de ingeniería social, distribuyendo un conjunto diferente de cargas útiles como Zbot y DarkGate desde principios de octubre de 2024.
“Los usuarios dentro del entorno de destino serán bombardeados por correo electrónico por parte del actor de amenazas, lo que a menudo se logra registrando el correo electrónico del usuario en numerosas listas de correo simultáneamente”, Rapid7 dicho. “Después de la bomba de correo electrónico, el actor de la amenaza se comunicará con los usuarios afectados”.
Como se observó en agosto, los atacantes hacen contacto inicial con posibles objetivos en Microsoft Teams, haciéndose pasar por personal de soporte o personal de TI de la organización. En algunos casos, también se les ha observado haciéndose pasar por miembros del personal de TI dentro de la organización objetivo.
Se insta a los usuarios que terminan interactuando con los actores de amenazas a instalar software legítimo de acceso remoto como AnyDesk, ScreenConnect, TeamViewer y Quick Assist de Microsoft. El fabricante de Windows está rastreando al grupo cibercriminal detrás del abuso de Quick Assist para la implementación de Black Basta bajo el nombre Storm-1811.
Rapid7 dijo que también detectó intentos realizados por el equipo de ransomware para aprovechar el cliente OpenSSH para establecer un shell inverso, así como enviar un código QR malicioso al usuario víctima a través de los chats para probablemente robar sus credenciales con el pretexto de agregar un teléfono móvil confiable. dispositivo.
Sin embargo, la empresa de ciberseguridad ReliaQuest, que también reportado En la misma campaña, se teorizó que los códigos QR se están utilizando para dirigir a los usuarios a otra infraestructura maliciosa.
El acceso remoto facilitado por la instalación de AnyDesk (o su equivalente) se utiliza luego para entregar cargas útiles adicionales al host comprometido, incluido un programa personalizado de recolección de credenciales seguido de la ejecución de Zbot (también conocido como ZLoader) o DarkGate, que puede servir como puerta de entrada para ataques posteriores.
“El objetivo general después del acceso inicial parece ser el mismo: enumerar rápidamente el entorno y deshacerse de las credenciales del usuario”, dijo el investigador de seguridad de Rapid7, Tyler McGraw.
“Cuando sea posible, los operadores también intentarán robar cualquier archivo de configuración de VPN disponible. Con las credenciales del usuario, la información de la organización VPN y una posible omisión de MFA, es posible que se autentiquen directamente en el entorno de destino”.
Black Basta surgió como un grupo autónomo de las cenizas de Conti tras el cierre de este último en 2022, inicialmente apoyándose en QakBot para infiltrarse en objetivos, antes de diversificarse hacia técnicas de ingeniería social. Desde entonces, el actor de amenazas, también conocido como UNC4393, ha utilizado varias familias de malware personalizadas para llevar a cabo sus objetivos –
- KNOTWRAP, un cuentagotas de solo memoria escrito en C/C++ que puede ejecutar una carga útil adicional en la memoria
- KNOTROCK, una utilidad basada en .NET que se utiliza para ejecutar el ransomware
- DAWNCRY, un cuentagotas de solo memoria que descifra un recurso incrustado en la memoria con una clave codificada
- PORTYARD, un tunelizador que establece una conexión a un servidor de comando y control (C2) codificado utilizando un protocolo binario personalizado sobre TCP
- COGSCAN, un ensamblaje de reconocimiento .NET utilizado para recopilar una lista de hosts disponibles en la red
“La evolución de Black Basta en la difusión de malware muestra un cambio peculiar desde un enfoque puramente basado en botnets a un modelo híbrido que integra la ingeniería social”, Yelisey Bohuslavskiy de RedSense dicho.
La divulgación llega como Check Point detallado su análisis de una variante Rust actualizada del ransomware Akira, destacando la dependencia de los autores de malware en código repetitivo ya preparado asociado con bibliotecas y cajas de terceros como indicatif, rust-crypto y seahorse.
Los ataques de ransomware también han empleado una variante del ransomware Mimic llamado Elpacoy las infecciones por Rhysida también emplean CleanUpLoader para ayudar en la filtración y persistencia de datos. El malware suele disfrazarse de instaladores de software popular, como Microsoft Teams y Google Chrome.
“Al crear dominios con errores tipográficos que se asemejan a sitios populares de descarga de software, Rhysida engaña a los usuarios para que descarguen archivos infectados”, Recorded Future dicho. “Esta técnica es particularmente efectiva cuando se combina con el envenenamiento de SEO, en el que estos dominios ocupan un lugar más alto en los resultados de los motores de búsqueda, haciéndolos aparecer como fuentes de descarga legítimas”.
About the Author
