Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Grup çapraz referanslı açık kaynaklı kurban zekası Infostealer Hauls ile
Mathew J. Schwartz (Euroinfosec) •
24 Şubat 2025
200.000 dahili siyah Basta sohbet mesajından oluşan bir sızıntı, modern bir fidye yazılımı grubunun kurbanları devirmek için kendisini nasıl organize ettiğine ve teorik olarak püskürtülmesi gereken çeşitli taktikleri nasıl kullandığına dair bir genel bakış sağlar.
Ayrıca bakınız: Uygun bir BYOD politikası için kapsamlı kılavuz
Black Basta kapsamlı araştırmalar yürüttü ve ilgilenilen hedefleri belgeleyen bol miktarda notlar, sosyal mühendislik girişimleri de dahil olmak üzere hedefe ulaşmak için adımlar atmaya çalışırken kataloglar, Dynarisk Tehdit İstihbaratı başkanı Milivoj Rajić dedi. Bilgi Güvenliği Medya Grubuna verdiği demeçte, “Genellikle tek bir organizasyonda birden fazla kişiyi hedef alıyorlar.” Dedi.
Rusça mesajlarının cesedi, 11 Şubat’ta, dökümün Rus bankalarını hedefleyen fidye yazılımı grubu için misilleme olduğunu iddia eden Telegram kullanıcısı “Sustamswispers” tarafından sızdırıldı. Birden fazla güvenlik araştırmacısı, sohbetlerin bilinen olaylar ve gerçeklerle ilişkilerine dayanarak meşru göründüğünü söyledi. Grup çökmeye yakın görünüyor (bkz:: Fidye Yazılımı: Blacklock Yükseliyor, ‘Yorgun’ Black Basta Reddediyor).
Sızıntılar, grubun ağları aktif olarak test ettiğini, kötü amaçlı yazılımları çalan bilgileri kullanarak hasat edilen verilerle gösteriyor. Infostealers, genellikle parolaları içeren bir günlük olarak bilinen toplu verileri, saldırganların çok faktörlü kimlik doğrulamasını ve kaydedilmiş tarayıcı şifrelerini atlamasına yardımcı olmak için çok faktörlü kimlik doğrulama jetonlarını püskürtür.
“VPN güvenlik açıklarından yararlanmaya güçlü bir odaklanıyorlar. Bu tür istismar sağlayabilecek bireyleri aktif olarak arıyorlar, satın alıyorlar veya buluyorlar.” Dedi. Black Basta içindeki bu tür çabalar, sızdırılmış sohbet günlükleri gösterisi “Nur” tutamağını kullanan bir çalışan tarafından yönetildi.
En iyi hedefler rastgele görünmüyordu. Black Basta, finansal hizmet firmalarına, imalat ve elektrik firmaları için endüstriyel malzemeler tedarikçilerine öncelik verdi. Fırsat hedeflerini takip eden bazı fidye yazılımı gruplarının aksine, Black Basta daha spesifik sektörlere odaklanmış gibi görünüyordu.
Sızıntılar ayrıca, bir fidye yazılımı grubu için günlük varoluşları, çoğu zaman tehdit istihbaratından daha çok tehdit dedikodu gibi “, sızıntıları inceleyen bir güvenlik mühendisinin sözleriyle vurgulamaktadır (bakınız: bkz: Sızan Siyah Basta Sohbet Günlükleri Fidye Yazılımının Banalitesini Gösteriyor).
Üyeler – sürpriz yok – kendileri işyeri azizleri değildi. Bazıları kript kilitleyen kötü amaçlı yazılımları serbest bırakma ahlakını tartışırken, “bilgisayar korsanlarından biri patronunun iş ilerlemesi hakkında yalan söylerken yakalandı”, Logs’un tamamlamadığını gösterdiğinde bir görevin yapıldığını iddia ederek CO, CO, Tehdit istihbarat firması Hudson Rock’ta. Firması sızıntıları bir chatgpt örneğini eğitmek için kullandı ve bu BlackBastagpt aracını özgürce kullanılabilir hale getirdi.
Rajić ve Thomas Roccia gibi araştırmacıların ve BlackBastagpt’in çalışmalarına dayanarak, Sızıntılar Black Basta üyelerinin çabalarını yönlendirmek için nasıl çeşitli açık kaynak zekası kullandıklarını vurguluyor. Bu, potansiyel bir kurbanın yıllık karlarını ve çalışanları hedefleyecekleri ve genellikle sahte indirme bağlantıları, sosyal mühendislik veya kimlik avı e -postaları aracılığıyla yaptıkları hedefleri tanımlamak için ticari arama motoru Zoominfo’nun yanı sıra LinkedIn ve People Arama sitesi Rocketreach’i de içeriyordu.
Black Basta’nın araştırdığı hedeflerin birçoğu için, grubun da uzaktan erişim bilgileri vardı, bu da grubun hangi kuruluşların ilk denemesini ve vurulacağını önceliklendirmek için Zoominfo ve diğer araçları kullandığını düşündürmektedir.
Sık bir strateji, kurbanları, bazen bir anti-spam aracı olarak gizlenmiş olan Level.io’dan uzaktan yönetim ve yazılımları takmaya çalışmayı veya en azından BlackBastagpt’e göre PowerShell aracılığıyla ağı ihlal ettikten sonra yüklemeye çalışmayı içeriyordu.
Grup, ağ güvenliği probundan ve kaydedilmiş internete bakan cihazlardan ve iki faktörlü kimlik doğrulama kontrollerinin yerinde olup olmadığı ve uzak masaüstü protokolü gibi hizmetlerin varlığı da dahil olmak üzere güvenlik açıklarından test sonuçlarını belgeledi. Bunun için grup, Nesnelerin İnterneti Arama Motorları Shodan ve Censys de dahil olmak üzere çeşitli taktikler kullanan kuruluşların içinde bilinen güvenlik açıklarına sahip internete bağlı cihazları aradı ve bilinen güvenlik açıklıkları belirtilerini aramak için ortak arama motorları kullanılarak bir Google Dorking olarak bilinen taktik.
Black Basta üyeleri arasında dolaşan “Dorks” listesi, “kök, yönetici veya sistem” düzey ayrıcalıkları verdiğini bildiren belirli bir savunmasız kuruluşu ortaya çıkaran bir Linux güvenlik açığı arayışının sonuçlarını arar.
Black Basta bilgisayar korsanları işe yarayabilecek her şeyi iki katına çıkardı. Sızıntılar, CVE atamalarının izlediği – 2017’den 2024’e kadar olan ve bunun 13 oranının kritik olarak, savunmasız bir sistemde keyfi kod çalıştırmak için uzaktan sömürülebilecekleri 29 özel güvenlik açıkından bahsettiğini söyledi.
Önemli olarak değerlendirilen en eski güvenlik açığı, Microsoft Office 2016’da ve daha önceki bir bellek yolsuzluğu kusuru olan CVE -2017-11882 idi.
Grup tarafından bahsedilen diğer yüksek referans CV’ler arasında Apache-Log4J, F5 Big-IP cihazları, Confluence Sunucuları ve Veri Merkezi enjeksiyon güvenlik açığı, GitLab, Juniper Cihazları, Microsoft Exchange Server, Microsoft Outlook, Netlogon Uzaktan Protokolü (MS-NRPC). Bahar Çerçevesi ve Zyxel Güvenlik Duvarları, diğerlerinin yanı sıra.
Rajić, çeşitli katmanlı savunmaların sürdürülmesi konusunda eski rehberliğin başvurmaya devam ettiğini söyledi. Buna güvenilmeyen yazılımlardan ve şüpheli kaynaklardan gelen bağlantılardan kaçınmak için kullanıcıları eğitmek de dahildir. Organizasyonel düzeyde, tüm yazılımları güncel tutun, saldırı önleme sistemlerini kullanarak saldırı denemelerini izleyin, kullanıcılara mümkün olan en az erişim ayrıcalığını sağlayın ve saldırılar bulmadan önce güvenlik açıklarını proaktif olarak tarayın. İki faktörlü kimlik doğrulamanın da Black Basta’nın saldırılarını körelttiği görülüyor-en azından onları sosyal mühendislik gibi daha yüksek dokunuşlu bir yöntemle çekiyor.
Bu tavsiye basit görünse de, çok fazla durumda, kurban kuruluşları tarafından yapıldığı görülmüyor. Ransomware gruplarının saldırıları devam ettikçe, işlerini onlar için daha kolay hale getirmeyin.