Las empresas con sede en los EE. UU. han estado en el extremo receptor de una campaña de malware Qakbot «agresiva» que conduce a infecciones de ransomware Black Basta en redes comprometidas.
«En esta última campaña, la pandilla de ransomware Black Basta está utilizando el malware QakBot para crear un punto de entrada inicial y moverse lateralmente dentro de la red de una organización», dijeron los investigadores de Cybereason Joakim Kandefelt y Danielle Frankel. dijo en un informe compartido con The Hacker News.
Black Basta, que surgió en abril de 2022, sigue el enfoque probado de doble extorsión para robar datos confidenciales de empresas objetivo y utilizarlos como palanca para extorsionar pagos en criptomonedas amenazando con divulgar la información robada.
Esta no es la primera vez que se observa a la tripulación del ransomware usando Qakbot (también conocido como QBot, QuackBot o Pinkslipbot). El mes pasado, Trend Micro reveló ataques similares que implicaron el uso de Qakbot para entregar el marco Brute Ratel C4, que, a su vez, se aprovechó para eliminar Cobalt Strike.
La actividad de intrusión observada por Cybereason elimina a Brute Ratel C4 de la ecuación y, en su lugar, usa Qakbot para distribuir directamente Cobalt Strike en varias máquinas en el entorno infectado.
La cadena de ataque comienza con un correo electrónico de phishing con un archivo de imagen de disco malicioso que, cuando se abre, inicia la ejecución de Qbot, que, por su parte, se conecta a un servidor remoto para recuperar la carga útil de Cobalt Strike.
En esta etapa, se llevan a cabo actividades de recolección de credenciales y movimiento lateral para colocar el marco del equipo rojo en varios servidores, antes de violar tantos puntos finales como sea posible utilizando las contraseñas recopiladas y lanzar el ransomware Black Basta.
«El actor de amenazas obtuvo privilegios de administrador de dominio en menos de dos horas y pasó a la implementación de ransomware en menos de 12 horas», señalaron los investigadores, y agregaron que más de 10 clientes diferentes se vieron afectados por el nuevo conjunto de ataques en las últimas dos semanas.
En dos casos detectados por la compañía de ciberseguridad israelí, las intrusiones no solo desplegaron el ransomware sino que también bloquearon a las víctimas fuera de sus redes al deshabilitar el servicio DNS en un intento por hacer que la recuperación fuera más desafiante.
Black Basta sigue siendo un actor de ransomware muy activo. Según datos recopilados por MalwarebytesBlack Basta apuntó con éxito a 25 empresas solo en octubre de 2022, colocándose detrás de LockBit, Karakurt y BlackCat.