Специалисты по кибербезопасности из компании Rapid7 зафиксировали существенные изменения в тактике группировки Black Basta, известной своими программами-вымогателями. С октября 2024 года злоумышленники активно применяют методы социальной инженерии в сочетании с различными вредоносными программами, включая Zbot и DarkGate.
Новая схема атак с использованием email-бомбинга
Современная стратегия атак Black Basta начинается с массированной рассылки нежелательных писем на электронную почту жертвы — сотни или тысячи писем за короткий промежуток времени. После этого злоумышленники инициируют контакт через Microsoft Teams, маскируясь под специалистов технической поддержки, якобы готовых помочь решить проблему спама. Такой сценарий социальной инженерии классифицирован в базе знаний MITRE ATT&CK как техника T1566 (Phishing) в сочетании с T1204 (User Execution).
Тактика социальной инженерии и методы компрометации
Хакеры используют как домены Azure/Entra, так и специально созданные доменные имена для установления контакта с потенциальными жертвами. Злоумышленники часто представляются сотрудниками ИТ-отдела или службы поддержки организации-цели, убеждая пользователей установить легитимное программное обеспечение для удалённого доступа — AnyDesk, ScreenConnect или TeamViewer. После получения доступа к экрану пользователя атакующие быстро разворачивают вредоносную нагрузку, не вызывая у жертвы подозрений.
Инструменты распространения вредоносного ПО
В арсенале группировки появились новые инструменты атак, включая использование OpenSSH для создания реверс-шелла и распространение вредоносных QR-кодов через мессенджеры. По данным ReliaQuest, QR-коды перенаправляют жертв на вредоносную инфраструктуру и используются для кражи учётных данных. Исследователи также зафиксировали применение BackConnect-прокси для поддержания постоянного доступа к скомпрометированным системам.
Корпоративные пользователи Microsoft Teams
Наиболее уязвимы организации, в которых параметры Microsoft Teams разрешают входящие сообщения от внешних доменов. Именно этот вектор — Teams с включёнными внешними коммуникациями — стал основным инструментом первоначального контакта с жертвой. Компании из сфер строительства, производства и финансов исторически являются приоритетными целями Black Basta, хотя атаки носят оппортунистический характер.
Последствия атак и украденные данные
После получения удалённого доступа злоумышленники устанавливают дополнительное вредоносное ПО, включая инструменты для кражи учётных данных, Zbot и DarkGate. Основной целью атакующих является быстрый анализ инфраструктуры жертвы и похищение конфиденциальной информации, включая данные VPN-конфигураций. Затем следует развёртывание шифровальщика Black Basta с требованием выкупа.
Как защититься от атак Black Basta
Для снижения риска компрометации необходимо выполнить следующие меры:
- Ограничьте или отключите возможность получения сообщений в Microsoft Teams от внешних организаций через политику Teams External Access.
- Проведите обучение сотрудников: легитимная IT-поддержка никогда не инициирует контакт через Teams в ответ на всплеск спама.
- Заблокируйте установку несанкционированного ПО для удалённого доступа (AnyDesk, TeamViewer) через GPO или MDM-политики.
- Настройте оповещения SIEM на массовую входящую почту (более 20 писем за 5 минут на один адрес).
- Обеспечьте сегментацию сети, чтобы ограничить горизонтальное перемещение в случае первоначальной компрометации.
Black Basta, действующая с апреля 2022 года по модели Ransomware-as-a-Service, атаковала Rheinmetall, европейское подразделение Hyundai и Американскую ассоциацию стоматологов. Специалисты отмечают сходство методов Black Basta с группировкой Conti, что может свидетельствовать о её ребрендинге.
