Hizmet olarak fidye yazılımının en üretken operatörlerinden biri olan Black Basta, e-posta DDoS kombinasyonunu deniyor ve çalışanların uzaktan erişim araçlarını indirmesini istiyor.
Black Basta TTP’ler ve en yeni ilk erişim denemeleri
Cuma günü CISA, FBI, Sağlık ve İnsani Hizmetler Bakanlığı (HHS) ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) tarafından yayınlanan bir siber güvenlik tavsiyesine göre Black Basta şunları kullandı/kullanıyor:
- Qakbot, hedef odaklı kimlik avı, güvenlik açıklarından ve geçerli kimlik bilgilerinden yararlanır ilk erişim
- Ağ taraması için SoftPerfect ağ tarayıcısı
- BITSAdmin, PsExec, RDP, Splashtop, Screen Connect, Cobalt Strike işaretçileri yanal hareketve taklit etmek ayrıcalık artışı
- ZeroLogon, NoPac ve PrintNighmare gibi güvenlik açıklarına yönelik istismarlar yerel ve Windows Active Domain ayrıcalık yükseltmesi
- RClone ve WinSCP için veri sızmasıPowerShell’den antivirüs ürünlerini devre dışı bırakArkadan bıçaklama uç nokta algılama ve yanıt (EDR) araçlarını devre dışı bırakın
- Vssadmin programı birim gölge kopyalarını sil (dosyaları şifrelemeden önce)
Tavsiye belgesi, Black Basta fidye yazılımı saldırılarıyla ilişkili güvenlik ihlali göstergelerini listeler ve kuruluşlara öneriler sunar.
Rapid7 analistleri ayrıca Black Basta operatörlerinin en son sosyal mühendislik numarasını da paylaştı: Hedeflerin gelen kutusunu önemsiz e-postalarla spamlıyorlar, ardından kuruluşlarının BT ekibinin bir üyesi gibi davranarak onları telefonla arayıp yardım teklif ediyorlar. Hedeften meşru bir uzaktan izleme ve yönetim aracı (örneğin, AnyDesk) kurmasını veya yerleşik bir Windows uzaktan destek yardımcı programı olan Quick Assist’i başlatmasını isterler.
Bir hedefe yönelik sosyal mühendislik çabaları başarısız olursa, bir sonraki hedefe geçerler.
Analistler, “Tehdit aktörü bir kullanıcının bilgisayarına başarılı bir şekilde erişim sağladıktan sonra, muhtemelen daha meşru görünmek ve şüphelerden kaçınmak amacıyla kullanıcıya güncellemeler olarak sunulan bir dizi toplu komut dosyasını çalıştırmaya başlıyor” dedi.
Betikler kalıcılık sağlıyor, belirli bir C2 sunucusuna ters kabuk bağlantısı kuruyor, kurbanın kimlik bilgilerini PowerShell kullanarak komut satırından alıyor.
“Gözlemlenen toplu komut dosyası varyasyonlarının çoğunda, kimlik bilgileri bir Güvenli Kopyalama komutu (SCP) aracılığıyla anında tehdit aktörünün sunucusuna aktarılıyor. Gözlemlenen en az bir diğer komut dosyası varyantında, kimlik bilgileri bir arşive kaydedilir ve manuel olarak alınması gerekir,” diye eklediler.
“Gözlemlenen bir vakada, ilk uzlaşma tamamlandıktan sonra, tehdit aktörü Impacket’i kullanarak SMB aracılığıyla ortamda yanal olarak hareket etmeye çalıştı ve sonuçta birçok denemeye rağmen Cobalt Strike’ı konuşlandırmayı başaramadı. Rapid7, araştırmalarımızın hiçbirinde başarılı bir veri sızıntısı veya fidye yazılımı dağıtımı gözlemlememiş olsa da, Rapid7 tarafından yürütülen adli analiz yoluyla bulunan güvenlik ihlali göstergeleri, dahili ve açık kaynak istihbaratına dayanan Black Basta fidye yazılımı grubuyla tutarlıdır.”
Rapid7 kuruluşlara tüm onaylanmamış RMM çözümlerinin ortamda yürütülmesini engellemelerini ve çalışanların BT departmanlarıyla iletişim kurmak (ve şüpheli e-postaları ve telefon çağrılarını bildirmek) için kullanabilecekleri kanallar ve yöntemler oluşturmalarını tavsiye etti.
Kara Basta kimdir?
Rusça konuşan Black Basta grubunun, Mayıs 2022’de dağılan kötü şöhretli Conti fidye yazılımı grubunun eski üyeleri tarafından kurulduğuna inanılıyor.
O zamandan beri Black Basta ve bağlı kuruluşları, ağırlıklı olarak Kuzey Amerika, Avrupa ve Avustralya’da olmak üzere dünya çapında 500’den fazla kuruluşa imza attı. Kritik altyapı sektörlerindeki (sağlık hizmetleri dahil) işletmeleri ve kuruluşları hedef alıyorlar.
2023’ün sonlarında Elliptic ve Corvus Insurance, “2022’nin başından bu yana Black Basta fidye yazılımı grubuna en az 107 milyon dolarlık Bitcoin fidye ödemesi yapıldığını” tespit etti ve blockchain işlemlerinin Black Basta ile Conti arasında açık bir bağlantı oluşturduğunu söyledi.
Bazı fidye yazılımı gruplarının aksine Black Basta, ödenecek fidye miktarını doğrudan tanımlamıyor. Bunun yerine kurbana, anlaşmak için belirli bir .onion URL’si aracılığıyla kendileriyle iletişime geçmesini söylerler.