Dalış Kılavuzu:
Black Basta’nın özel sohbet günlükleri geçen ay sızdırıldı ve stratejileri, taktikleri ve hedeflenen güvenlik açıkları Hizmet Olarak Kötü Şöhretli Fidye Yazılımı son iki yılda kullanıldı.
Eclecticiq araştırmacıları, sohbetleri analiz ettiler ve Black Basta tehdit aktörlerinin 2023’ten beri VPN’ler ve güvenlik duvarları gibi ağ kenar cihazlarını hedeflemek için kullandığı “kaba” olarak adlandırılan daha önce tanımlanamayan bir kaba zorlama çerçevesi keşfettiler.
Black Basta’nın kurutulması kullanımı, birçok kuruluşun, son yıllarda çeşitli siber suçlular ve gelişmiş kalıcı tehdit (APT) grupları için popüler hedefler haline gelen Edge cihazları için zayıf ve yeniden kullanılan şifrelere sahip olmaya devam ettiğini göstermektedir.
Dalış içgörü:
Buna göre Eclecticiq’in analizi Bruted’in kodundan, çerçeve, Cisco, Fortinet, Palo Alto Network, Sonicwall, WatchGuard ve Citrix gibi satıcılardan yaygın olarak kullanılan VPN ve güvenlik duvarı ürünlerine karşı otomatik ağ numaralandırması ve kimlik bilgisi-büro saldırıları düzenler. Ayrıca, araç uzak masaüstü protokol uygulamaları için Microsoft RDWeb örneklerini hedefleyebilir.
Bruted’in otomatik taramaları, alt alanlar ve IP adresleri hakkında veri toplar ve zayıf veya yeniden kullanılan kimlik bilgilerinden yararlanarak belirli kuruluşlar için şifre tahminleri oluşturmak için SSL sertifika verilerini çıkarır. Eclecticiq’teki tehdit istihbarat analisti olan Arda Bunukkaya, analizde, gerçek VPN veya RDP istemcilerini benzemek için uygun HTTP/S istekleri, kullanıcı ajanı dizeleri ve verileri yayınladığını yazdı.
Bilökkaya, “Bröfli Framework, Black Basta iştiraklerinin bu saldırıları otomatikleştirmelerini ve ölçeklendirmelerini sağlıyor, kurban havuzlarını genişletiyor ve fidye yazılımı operasyonlarını artırmak için para kazanmayı hızlandırıyor” dedi.
Black Basta’nın kaba zorlama aracı, hem özel şirketlerin hem de devlet kurumlarının son yıllarda VPN’lere karşı artan tehdit faaliyetine ilişkin artan tehdit faaliyetlerine ilişkin sayısız uyarıya ve tehdit raporlarına rağmen, Edge Cihazları için Şifre Güvenliğinin hala tehdit aktörleri için kazançlı bir saldırı vektörü olduğunu gösteriyor. Bir Blog yazısı Geçen ay Qualys, siyah Basta aktörlerinin genellikle ilk erişim için varsayılan VPN kimlik bilgilerine veya brute zorlayıcı çalınan kimlik bilgilerine güvendiğini belirtti.
İronik bir şekilde, Black Basta’nın iç sohbetlerinin sızmasına yol açan böyle bir kaba kuvvet saldırısı olabilir. Buna göre Birkaç rapor“ExploitWhispers” olarak bilinen bir kişi, bir Siyah Basta bağlı kuruluşunun bir Rus bankasını zorladıktan ve ağını tehlikeye attıktan sonra verileri yayınladı. Görünüşe göre, Rusça konuşan birçok siber suçlu grup ülkedeki kuruluşları hedeflemekten kaçındığı için bir çizgiyi geçti.
Saldırı Edge Cihazları ile birlikte Black Basta kritik altyapı kuruluşlarını hedeflediği bilinen. Geçen yıl ortak siber güvenlik danışmanlığında Cisa, fidye yazılımı çetesinin sağlık endüstrisi de dahil olmak üzere 16 hükümet tarafından tasarlanan kritik sektörden 12’sine saldırdığı konusunda uyardı. Eclecticiq, fidye yazılımı çetesinin de endüstriyel makineler ve üretim sektörlerine odaklandığını ve operasyonel kesinti süresini karşılayamayan ve fidye ödemesi daha olası yüksek değerli hedeflere öncelik verdiğini değerlendirdi.