Önde gelen bir fidye yazılımı grubu olan Black Basta, 2022’de ortaya çıkışından bu yana, hedef ağlara sızmak için gelişmiş sosyal mühendislik teknikleri kullanarak ve genellikle sistemleri fark edilmeden tehlikeye atmak için gelişmiş kötü amaçlı yazılımlardan yararlanarak hızla ün kazandı.
Black Basta içeri girer girmez mağdurlardan fidye talep ediyor ve ödeme yapılmazsa hassas verileri kamuya açıklayacağı tehdidinde bulunuyor.
Grubun taktikleri sürekli olarak uyarlaması, dikkatli izleme, düzenli yama uygulama ve sağlam uç nokta güvenlik çözümleri dahil olmak üzere sağlam siber güvenlik önlemlerinin kritik öneminin altını çiziyor.
Bu, 2022’deki başlangıcından bu yana hızla yükselen güçlü bir Hizmet Olarak Fidye Yazılımı (RaaS) grubudur; dünya çapında çeşitli sektörleri hedef alır ve işleyiş şekli kimlik avı, güvenlik açığından yararlanma ve çifte gasp gibi çok yönlü bir yaklaşımı içerir.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Black Basta, ağları yeniden keşfederek, kimlik bilgilerini boşaltarak, ayrıcalıkları artırarak ve hassas verileri sızdırarak kurbanlar üzerinde önemli bir baskı uygulayarak onları fidye taleplerine boyun eğmeye zorluyor.
Agresif strateji, dünya çapında 500’den fazla kuruluşun uzlaşmasıyla sonuçlandı ve grubun küresel siber güvenliğe yönelik önemli tehdidinin altını çizdi.
Kurbanları bir uzak masaüstü aracı yüklemeleri için kandırmak için sosyal mühendislikten yararlanıyor. Erişim elde edildikten sonra, anti-spam yazılımı olarak gizlenen SystemBC proxy kötü amaçlı yazılımını dağıtıyorlar; bu kötü amaçlı yazılım, kalıcı bir arka kapı oluşturarak uzaktan kontrole ve veri sızmasına olanak tanıyor.
Tanımlanan spesifik veri AntispamConnectUS.exe’dir (MD5: 3ea66e531e24cddcc292c758ad8b51d5, SHA256: cf7af42525e715bd77f8465f6ac0fd9e5bea0da0). NGAV ve EDR çözümleri, karma değerlerini tanımlayıp engelleyerek bu yükü potansiyel olarak engelleyebilir.
Çok yönlü bir kötü amaçlı yazılım olan SystemBC, C2 iletişimini gizleyerek ve diğer kötü amaçlı yazılım ailelerinin yanı sıra çeşitli tehdit aktörleri tarafından kullanılan ek kötü amaçlı yazılım türlerini sunarak tespit edilmekten kaçınır.
Black Basta yüklerine karşı koymak için NGAV veya EDR çözümleri, dosyaları MD5 ve SHA256 karma değerlerine göre engelleyecek şekilde yapılandırılabilir; bu, güvenlik konsoluna erişmeyi, tehdit yönetimine gitmeyi, ilgili karmaları eklemeyi, değişiklikleri kaydetmeyi ve politikayı uygulamayı içerir.
Tehdit aktörü, yüklü sahte anti-spam programından yararlanarak kurbanın sisteminde bir dayanak noktası oluşturmak için Cobalt Strike işaretlerini kullanır; bu işaretler, ağ içinde yanal hareketi kolaylaştırarak saldırganın kritik sistemleri tanımlamasına ve tehlikeye atmasına olanak tanır.
Cobalt Strike’ın yetenekleri, Brute Ratel ve QakBot gibi araçlarla daha da geliştirilerek, saldırganın C2 sunucusuyla kalıcı ve şifreli iletişimi sürdürdüğü ve sonuçta hassas verileri şifrelemek ve kurbanı gasp etmek için fidye yazılımı dağıttığı durumlarda etkili gezinme ve istismara olanak tanır.
Siber suçlular, meşru BT desteğini taklit etmek amacıyla “destek yöneticisi” veya “siber güvenlik yöneticisi” gibi adlara sahip sahte Entra ID kiracıları oluşturarak sosyal mühendislik saldırıları başlatmak için Microsoft Teams’in harici iletişim özelliğinden yararlanıyor.
Hesaplar, geleneksel e-posta tabanlı kimlik avını atlayan ve iç iletişim kanallarıyla ilişkili güveni kötüye kullanan, hassas bilgileri elde etmek veya kötü niyetli eylemler gerçekleştirmek için yardım masası personeli gibi davranarak Teams’deki çalışanlara doğrudan mesaj göndermek için kullanılıyor.
Tehdit aktörü, bir tünel ağı kurmak için AntispamConnectUS.exe’den yararlanarak Cobalt Strike’ın konuşlandırılmasını sağlıyor. Kobalt Saldırı işaretleri, yanal hareket ve uzaktan kontrol için kalıcı bir C2 kanalı sağlar.
Cyfirma’ya göre, bilgi hırsızlığını ve komut yürütmeyi kolaylaştırmak için ek araçlar ve yükler kullanılıyor; çünkü nihai amaç, kritik verileri şifrelemek ve fidye ödemelerini gasp etmek için Black Basta gibi fidye yazılımlarını dağıtmak.
Black Basta fidye yazılımı çetesi, sistemlere sızmak ve kötü amaçlı yüklerini dağıtmak için bir dizi araçtan yararlanıyor; bunlar arasında PowerShell ve WinSCP gibi yasal araçların yanı sıra Qakbot ve Cobalt Strike gibi kötü amaçlı araçlar da bulunuyor.
Grup, güvenlik açıklarından yararlanıyor, kimlik bilgilerini çalıyor ve sistemleri tehlikeye atmak için ağlar içinde yanal olarak hareket ediyor. Erişim sağlandıktan sonra kritik dosyaları şifreliyorlar ve şifrenin çözülmesi için fidye talep ediyorlar.
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.