Експерти з кібербезпеки компанії Rapid7 виявили суттєву трансформацію методів роботи хакерського угруповання Black Basta. З жовтня 2024 року зловмисники впровадили комплексний підхід до проведення кібератак, поєднуючи методи соціальної інженерії з використанням шкідливого програмного забезпечення Zbot та DarkGate.
Модернізована стратегія атак через email-спам
Новий вектор атак Black Basta розпочинається з масованого розсилання спам-повідомлень на електронну пошту потенційної жертви. Після створення ситуації інформаційного перевантаження зловмисники встановлюють контакт через Microsoft Teams, видаючи себе за фахівців технічної підтримки, які нібито можуть допомогти вирішити проблему зі спамом.
Витончені методи соціальної інженерії
Хакери використовують як легітимні домени Azure/Entra, так і спеціально створені фішингові домени для комунікації з потенційними жертвами. Зловмисники майстерно імітують співробітників ІТ-відділу або служби підтримки цільової організації, переконуючи користувачів встановити легальне програмне забезпечення для віддаленого доступу: AnyDesk, ScreenConnect або TeamViewer.
Інноваційні інструменти розповсюдження малвері
Технічний арсенал групи поповнився новими методами атак, включаючи застосування OpenSSH для створення реверс-шелу та поширення шкідливих QR-кодів через месенджери. За даними ReliaQuest, QR-коди використовуються для перенаправлення жертв на шкідливу інфраструктуру та викрадення облікових даних.
Масштаб загрози та наслідки атак
Після отримання віддаленого доступу хакери встановлюють додаткове шкідливе ПЗ для викрадення конфіденційних даних. Серед цілей Black Basta – великі організації, включаючи Rheinmetall, європейський підрозділ Hyundai та Американську асоціацію стоматологів. Експерти відзначають схожість методів роботи з групою Conti, що може свідчити про її ребрендинг.
Враховуючи зростаючу загрозу з боку Black Basta, організаціям рекомендується впровадити багаторівневу систему захисту, включаючи регулярні навчання персоналу з протидії методам соціальної інженерії, використання багатофакторної автентифікації та постійний моніторинг підозрілої активності в корпоративній мережі. Особливу увагу слід приділити верифікації запитів на встановлення програм віддаленого доступу та перевірці автентичності комунікацій через корпоративні месенджери.
