Mayıs 2024’ten bu yana yeniden canlanan Black Basta fidye yazılımı kampanyası, sosyal mühendislik, özel paketleyici, kötü amaçlı yazılım yüklerinin bir karışımı ve gelişmiş dağıtım tekniklerini harmanlayan çok aşamalı bir enfeksiyon zincirini bir araya getirerek saldırı yöntemlerinde rahatsız edici bir artış sergiledi.
Saldırganlar, ilk enfeksiyon vektörü görevi gören kötü amaçlı komutları dağıtmak için Microsoft Teams gibi işbirliği platformu üyelerinin birbirlerine olan güveninden yararlanıyor.
Şüphelenmeyen kullanıcılar bu komutları çalıştırdığında, kaynağı bilinmeyen özel bir paketleyici, ağ içinde yanal hareket için oturum açma kimlik bilgilerini çalmak üzere tasarlanmış bir kimlik bilgisi toplayıcıyı veya Black Basta fidye yazılımının gizlenmiş varyantlarını içerebilecek çeşitli yük cephaneliğini gizler.
Savunmacılara erken tespit konusunda yardımcı olacak bu özel paketleyiciyi tanımlamak için YARA kuralları güvenlik araştırmacıları tarafından geliştirilmiş ve kamuoyuna sunulmuştur.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Özel paketleyicinin ötesinde Black Basta’nın, çok çeşitli zararlı eylemler gerçekleştirebilen kötü amaçlı bir kabuk kodu olan DarkGate’ten yararlandığı da gözlemlendi.
DarkGate; işlemleri sonlandırmak, bilgi çalmak, sistemi manipüle etmek (yeniden başlatmak, kapatmak, çökmek) ve güvenliği ihlal edilmiş makinelere yeniden virüs bulaştırmak için kullanılabilir.
Kimlik bilgileri çalan bir truva atı olan Zbot’un Black Basta’nın kötü amaçlı yazılım cephaneliğine dahil edilmesi, çok aşamalı bir saldırı yapısına ilişkin argümanı güçlendiriyor.
Muhtemelen kötü niyetli Teams komutları yoluyla sağlanan sosyal mühendislik taktiklerini içeren ilk aşama, güvenlik savunmalarını atlamayı ve hedef ağ içinde bir dayanak oluşturmayı amaçlıyor.
Başarılı bir uzlaşmanın ardından, özel paketleyici, kimlik bilgisi toplayıcı veya gizlenmiş fidye yazılımı yürütülebilir dosyası olabilecek bir sonraki aşamadaki yükü açar.
Kimlik bilgisi toplayıcı, ele geçirilen ağ içinde yatay hareketi kolaylaştırmak için oturum açma kimlik bilgilerini çalarken, fidye yazılımı da kurbandan zorla fidye ödemesi almak için kritik verileri şifreliyor.
Bir dayanak oluşturulduktan ve kimlik bilgileri toplandıktan sonra Black Basta, DarkGate’i enjekte eder; bu daha sonra ağ içinde yanal hareket elde etmek, çeşitli kaynaklardan hassas verileri çalmak, yeniden başlatma sonrasında bile erişimin devam etmesini sağlamak için tehlikeye atılmış sistemde potansiyel olarak kalıcılık oluşturmak için kullanılabilir. ve yeniden başlatma denemeleri durumunda makineye yeniden virüs bulaşması ihtimali var.
Rapid7’ye göre etkili savunmalar, bu sosyal mühendislik girişimlerini tespit edebilmeli, yukarıda bahsedilen YARA kuralları gibi araçları kullanarak kötü amaçlı yükleri açabilmeli ve sonuçta fidye yazılımı dağıtımını engelleyebilmelidir.
Kuruluşlar, işbirliği platformlarındaki şüpheli mesajlara veya komutlara karşı dikkatli olmak ve bu tür örnekleri derhal bildirmek de dahil olmak üzere, çalışanlarını siber güvenlikle ilgili en iyi uygulamalar konusunda eğitmeye öncelik vermelidir.
Kuruluşlar, teknik kontrolleri kullanıcı farkındalığı eğitimleriyle birleştiren katmanlı bir güvenlik yaklaşımını uygulayarak, Black Basta fidye yazılımı kampanyasının gelişen taktiklerine karşı savunmalarını önemli ölçüde geliştirebilirler.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses