Специалисты по кибербезопасности из компании Rapid7 зафиксировали существенные изменения в тактике группировки Black Basta, известной своими программами-вымогателями. С октября 2024 года злоумышленники начали активно применять методы социальной инженерии в сочетании с различными вредоносными программами, включая Zbot и DarkGate.
Новая схема атак с использованием email-бомбинга
Современная стратегия атак Black Basta начинается с массированной рассылки нежелательных писем на электронную почту жертвы. После этого злоумышленники инициируют контакт через Microsoft Teams, маскируясь под специалистов технической поддержки, якобы готовых помочь с решением проблемы спама.
Тактика социальной инженерии и методы компрометации
Хакеры используют как домены Azure/Entra, так и специально созданные доменные имена для установления контакта с потенциальными жертвами. Злоумышленники часто представляются сотрудниками ИТ-отдела или службы поддержки организации-цели, убеждая пользователей установить легитимное программное обеспечение для удаленного доступа, такое как AnyDesk, ScreenConnect или TeamViewer.
Инновационные методы распространения вредоносного ПО
В арсенале группировки появились новые инструменты атак, включая использование OpenSSH для создания реверс-шелла и распространение вредоносных QR-кодов через мессенджеры. По данным ReliaQuest, QR-коды могут использоваться для перенаправления жертв на вредоносную инфраструктуру и кражи учетных данных.
Цели и последствия атак
После получения удаленного доступа злоумышленники устанавливают дополнительное вредоносное ПО, включая специализированные инструменты для кражи учетных данных, Zbot и DarkGate. Основной целью атакующих является быстрый анализ инфраструктуры жертвы и похищение конфиденциальной информации, включая данные VPN-конфигураций.
Black Basta, действующая с апреля 2022 года по модели Ransomware-as-a-Service, успела атаковать множество крупных организаций, включая Rheinmetall, европейское подразделение Hyundai и Американскую ассоциацию стоматологов. Эксперты по кибербезопасности отмечают схожесть методов работы Black Basta с известной группировкой Conti, что может свидетельствовать о ребрендинге последней. Организациям рекомендуется усилить меры безопасности и провести дополнительное обучение сотрудников по противодействию методам социальной инженерии.
