Se ha observado que los actores de amenazas vinculados al ransomware Black Basta cambiaron sus t\u00e1cticas de ingenier\u00eda social, distribuyendo un conjunto diferente de cargas \u00fatiles como Zbot y DarkGate desde principios de octubre de 2024.<\/p>\n
“Los usuarios dentro del entorno de destino ser\u00e1n bombardeados por correo electr\u00f3nico por parte del actor de amenazas, lo que a menudo se logra registrando el correo electr\u00f3nico del usuario en numerosas listas de correo simult\u00e1neamente”, Rapid7 dicho<\/a>. “Despu\u00e9s de la bomba de correo electr\u00f3nico, el actor de la amenaza se comunicar\u00e1 con los usuarios afectados”.<\/p>\n Como se observ\u00f3 en agosto, los atacantes hacen contacto inicial con posibles objetivos en Microsoft Teams, haci\u00e9ndose pasar por personal de soporte o personal de TI de la organizaci\u00f3n. En algunos casos, tambi\u00e9n se les ha observado haci\u00e9ndose pasar por miembros del personal de TI dentro de la organizaci\u00f3n objetivo.<\/p>\n Se insta a los usuarios que terminan interactuando con los actores de amenazas a instalar software leg\u00edtimo de acceso remoto como AnyDesk, ScreenConnect, TeamViewer y Quick Assist de Microsoft. El fabricante de Windows est\u00e1 rastreando al grupo cibercriminal detr\u00e1s del abuso de Quick Assist para la implementaci\u00f3n de Black Basta bajo el nombre Storm-1811.<\/p>\n Rapid7 dijo que tambi\u00e9n detect\u00f3 intentos realizados por el equipo de ransomware para aprovechar el cliente OpenSSH para establecer un shell inverso, as\u00ed como enviar un c\u00f3digo QR malicioso al usuario v\u00edctima a trav\u00e9s de los chats para probablemente robar sus credenciales con el pretexto de agregar un tel\u00e9fono m\u00f3vil confiable. dispositivo.<\/p>\n Sin embargo, la empresa de ciberseguridad ReliaQuest, que tambi\u00e9n reportado<\/a> En la misma campa\u00f1a, se teoriz\u00f3 que los c\u00f3digos QR se est\u00e1n utilizando para dirigir a los usuarios a otra infraestructura maliciosa.<\/p>\n El acceso remoto facilitado por la instalaci\u00f3n de AnyDesk (o su equivalente) se utiliza luego para entregar cargas \u00fatiles adicionales al host comprometido, incluido un programa personalizado de recolecci\u00f3n de credenciales seguido de la ejecuci\u00f3n de Zbot (tambi\u00e9n conocido como ZLoader) o DarkGate, que puede servir como puerta de entrada para ataques posteriores.<\/p>\n “El objetivo general despu\u00e9s del acceso inicial parece ser el mismo: enumerar r\u00e1pidamente el entorno y deshacerse de las credenciales del usuario”, dijo el investigador de seguridad de Rapid7, Tyler McGraw.<\/p>\n “Cuando sea posible, los operadores tambi\u00e9n intentar\u00e1n robar cualquier archivo de configuraci\u00f3n de VPN disponible. Con las credenciales del usuario, la informaci\u00f3n de la organizaci\u00f3n VPN y una posible omisi\u00f3n de MFA, es posible que se autentiquen directamente en el entorno de destino”.<\/p>\n Black Basta surgi\u00f3 como un grupo aut\u00f3nomo de las cenizas de Conti tras el cierre de este \u00faltimo en 2022, inicialmente apoy\u00e1ndose en QakBot para infiltrarse en objetivos, antes de diversificarse hacia t\u00e9cnicas de ingenier\u00eda social. Desde entonces, el actor de amenazas, tambi\u00e9n conocido como UNC4393, ha utilizado varias familias de malware personalizadas<\/a> para llevar a cabo sus objetivos –<\/p>\n “La evoluci\u00f3n de Black Basta en la difusi\u00f3n de malware muestra un cambio peculiar desde un enfoque puramente basado en botnets a un modelo h\u00edbrido que integra la ingenier\u00eda social”, Yelisey Bohuslavskiy de RedSense dicho<\/a>.<\/p>\n La divulgaci\u00f3n llega como Check Point detallado<\/a> su an\u00e1lisis de una variante Rust actualizada del ransomware Akira, destacando la dependencia de los autores de malware en c\u00f3digo repetitivo ya preparado asociado con bibliotecas y cajas de terceros como indicatif, rust-crypto y seahorse.<\/p>\n Los ataques de ransomware tambi\u00e9n han empleado una variante del ransomware Mimic llamado Elpaco<\/a>y las infecciones por Rhysida tambi\u00e9n emplean CleanUpLoader para ayudar en la filtraci\u00f3n y persistencia de datos. El malware suele disfrazarse de instaladores de software popular, como Microsoft Teams y Google Chrome.<\/p>\n “Al crear dominios con errores tipogr\u00e1ficos que se asemejan a sitios populares de descarga de software, Rhysida enga\u00f1a a los usuarios para que descarguen archivos infectados”, Recorded Future dicho<\/a>. “Esta t\u00e9cnica es particularmente efectiva cuando se combina con el envenenamiento de SEO, en el que estos dominios ocupan un lugar m\u00e1s alto en los resultados de los motores de b\u00fasqueda, haci\u00e9ndolos aparecer como fuentes de descarga leg\u00edtimas”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Black-Basta-Ransomware-evoluciona-con-bombardeos-de-correo-electronico-codigos.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/div>\n