Os atores de ameaças ligados ao ransomware Black Basta foram observados mudando suas táticas de engenharia social, distribuindo um conjunto diferente de payloads, como Zbot e DarkGate, desde o início de outubro de 2024.
"Usuários dentro do ambiente alvo serão bombardeados por e-mails pelo ator de ameaças, que é frequentemente alcançado inscrevendo o email do usuário em várias listas de discussão simultaneamente", disse a Rapid7.
"Após o bombardeio de e-mails, o ator de ameaça entrará em contato com os usuários impactados."
Como observado em agosto, os atacantes fazem contato inicial com alvos em potencial no Microsoft Teams, fingindo ser pessoal de suporte ou equipe de TI da organização.
Em alguns casos, eles também foram observados se passando por membros da equipe de TI dentro da organização alvo.
Usuários que acabam interagindo com os atores de ameaças são instados a instalar softwares legítimos de acesso remoto como AnyDesk, ScreenConnect, TeamViewer e Quick Assist da Microsoft.
A fabricante do Windows está rastreando o grupo de cibercriminosos por trás do abuso do Quick Assist para a implantação do Black Basta sob o nome Storm-1811.
A Rapid7 disse também que detectou tentativas da equipe de ransomware de utilizar o cliente OpenSSH para estabelecer um shell reverso, bem como enviar um QR code malicioso para o usuário vítima através dos chats para, provavelmente, roubar suas credenciais sob o pretexto de adicionar um dispositivo móvel confiável.
No entanto, a empresa de cibersegurança ReliaQuest, que também relatou sobre a mesma campanha, teorizou que os QR codes estão sendo usados para direcionar usuários para uma infraestrutura maliciosa adicional.
O acesso remoto facilitado pela instalação de AnyDesk (ou equivalente) é então usado para entregar payloads adicionais ao host comprometido, incluindo um programa personalizado de coleta de credenciais seguido pela execução de Zbot (também conhecido como ZLoader) ou DarkGate, que podem servir como um gateway para ataques subsequentes.
"O objetivo geral após o acesso inicial parece ser o mesmo: enumerar rapidamente o ambiente e coletar as credenciais do usuário", disse o pesquisador de segurança da Rapid7, Tyler McGraw.
Quando possível, os operadores também tentarão roubar quaisquer arquivos de configuração de VPN disponíveis.
Com as credenciais do usuário, informações de VPN da organização e potencial bypass de MFA, pode ser possível para eles autenticarem diretamente no ambiente alvo.
Black Basta emergiu como um grupo autônomo das cinzas do Conti após o desligamento deste último em 2022, inicialmente se apoiando no QakBot para infiltrar alvos, antes de diversificar para técnicas de engenharia social.
O ator de ameaça, que também é referido como UNC4393, desde então, utilizou várias famílias de malware feitas sob medida para alcançar seus objetivos:
- KNOTWRAP, um dropper somente de memória escrito em C/C++ que pode executar um payload adicional na memória;
- KNOTROCK, uma utilidade baseada em .NET usada para executar o ransomware;
- DAWNCRY, um dropper somente de memória que descriptografa um recurso embutido na memória com uma chave codificada;
- PORTYARD, um túnel que estabelece uma conexão com um servidor de comando e controle (C2) codificado usando um protocolo binário customizado sobre TCP;
- COGSCAN, um conjunto de reconhecimento em .NET usado para coletar uma lista de hosts disponíveis na rede.
"A evolução do Black Basta na disseminação de malware mostra uma mudança peculiar de uma abordagem puramente dependente de botnet para um modelo híbrido que integra engenharia social", disse Yelisey Bohuslavskiy da RedSense.
A revelação ocorre enquanto a Check Point detalhou sua análise de uma variante atualizada em Rust do ransomware Akira, destacando a dependência dos autores do malware em códigos prontos associados a bibliotecas e crates de terceiros como indicatif, rust-crypto e seahorse.
Ataques de ransomware também empregaram uma variante do ransomware Mimic chamada Elpaco, com infecções por Rhysida também utilizando CleanUpLoader para auxiliar na exfiltração de dados e persistência.
O malware é frequentemente disfarçado como instaladores para softwares populares, como Microsoft Teams e Google Chrome.
"Ao criar domínios typosquatted que se assemelham a sites populares de download de software, Rhysida engana usuários para baixar arquivos infectados", disse Recorded Future.
Esta técnica é particularmente eficaz quando combinada com envenenamento de SEO, no qual esses domínios são classificados mais altos nos resultados dos motores de busca, fazendo com que pareçam fontes legítimas de download.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...