Se ha observado que los actores de amenazas vinculados al ransomware Black Basta han cambiado sus tácticas de ingeniería social , distribuyendo un conjunto diferente de cargas útiles como Zbot y DarkGate desde principios de octubre de 2024.
«Los usuarios dentro del entorno objetivo serán spameados con correos electrónicos por el actor de la amenaza, lo que a menudo se logra al registrar el correo electrónico del usuario en varias listas de correo simultáneamente», dijo Rapid7 . «Después del spam de correo electrónico, el actor de la amenaza se comunicará con los usuarios afectados».
Como se observó en agosto, los atacantes establecen un contacto inicial con los posibles objetivos en Microsoft Teams, haciéndose pasar por personal de soporte o de TI de la organización. En algunos casos, también se los ha observado haciéndose pasar por miembros del personal de TI de la organización atacada.
Se insta a los usuarios que terminan interactuando con los actores de amenazas a instalar software de acceso remoto legítimo, como AnyDesk, ScreenConnect, TeamViewer y Quick Assist de Microsoft. El fabricante de Windows está rastreando al grupo cibercriminal detrás del abuso de Quick Assist para la implementación de Black Basta bajo el nombre Storm-1811.
Rapid7 dijo que también detectó intentos realizados por el equipo de ransomware de aprovechar el cliente OpenSSH para establecer un shell inverso, así como enviar un código QR malicioso al usuario víctima a través de los chats para probablemente robar sus credenciales con el pretexto de agregar un dispositivo móvil confiable.
Sin embargo, la empresa de ciberseguridad ReliaQuest, que también informó sobre la misma campaña, teorizó que los códigos QR se están utilizando para dirigir a los usuarios a otra infraestructura maliciosa.
El acceso remoto facilitado por la instalación de AnyDesk (o su equivalente) se utiliza luego para enviar cargas útiles adicionales al host comprometido, incluido un programa de recolección de credenciales personalizado seguido de la ejecución de Zbot (también conocido como ZLoader) o DarkGate, que puede servir como puerta de enlace para ataques posteriores.
«El objetivo general después del acceso inicial parece ser el mismo: enumerar rápidamente el entorno y descargar las credenciales del usuario», dijo el investigador de seguridad de Rapid7, Tyler McGraw.
«Cuando sea posible, los operadores también intentarán robar cualquier archivo de configuración de VPN disponible. Con las credenciales del usuario, la información de VPN de la organización y una posible omisión de MFA, es posible que puedan autenticarse directamente en el entorno de destino».
Black Basta surgió como un grupo autónomo de las cenizas de Conti tras el cierre de este último en 2022, inicialmente apoyándose en QakBot para infiltrarse en sus objetivos, antes de diversificarse hacia técnicas de ingeniería social. El actor de amenazas, al que también se hace referencia como UNC4393 , ha utilizado desde entonces varias familias de malware a medida para llevar a cabo sus objetivos:
- KNOTWRAP, un cuentagotas de solo memoria escrito en C/C++ que puede ejecutar una carga útil adicional en la memoria
- KNOTROCK, una utilidad basada en .NET que se utiliza para ejecutar el ransomware
- DAWNCRY, un cuentagotas de solo memoria que descifra un recurso integrado en la memoria con una clave codificada
- PORTYARD, un tunelizador que establece una conexión con un servidor de comando y control (C2) codificado de forma rígida mediante un protocolo binario personalizado sobre TCP
- COGSCAN, un ensamblaje de reconocimiento .NET utilizado para recopilar una lista de hosts disponibles en la red
«La evolución de Black Basta en la difusión de malware muestra un cambio peculiar desde un enfoque puramente dependiente de botnets a un modelo híbrido que integra ingeniería social», dijo Yelisey Bohuslavskiy de RedSense.
La revelación se produce luego de que Check Point detallara su análisis de una variante Rust actualizada del ransomware Akira , destacando la dependencia de los autores del malware de código repetitivo listo para usar asociado con bibliotecas y paquetes de terceros como indicatif, rust-crypto y seahorse.
Los ataques de ransomware también han empleado una variante del ransomware Mimic llamada Elpaco , y las infecciones de Rhysida también emplean CleanUpLoader para ayudar en la exfiltración y la persistencia de datos. El malware suele camuflarse como instaladores de software popular, como Microsoft Teams y Google Chrome.
«Al crear dominios typosquatted que se asemejan a sitios de descarga de software populares, Rhysida engaña a los usuarios para que descarguen archivos infectados», dijo Recorded Future . «Esta técnica es particularmente efectiva cuando se combina con el envenenamiento SEO, en el que estos dominios se clasifican más alto en los resultados de los motores de búsqueda, lo que hace que aparezcan como fuentes de descarga legítimas».
Fuente y redacción: thehackernews.com
