Η συμμορία πίσω από το ransomware Black Basta συνεργάζεται με τους χειριστές του QBot malware για να εξαπλωθεί μέσα σε παραβιασμένα εταιρικά περιβάλλοντα.
Το Qbot, γνωστό και ως QuakBot, είναι κακόβουλο λογισμικό που επηρεάζει Windows μηχανήματα και κλέβει τραπεζικά credentials και Windows domain credentials, ενώ μπορεί να εγκαταστήσει και περαιτέρω malware payloads στις μολυσμένες συσκευές.
Δείτε επίσης: Mandiant: “Δεν υπήρχαν στοιχεία” για hack από LockBit ransomware
Τα θύματα συνήθως μολύνονται με το Qbot μέσω επιθέσεων phishing με κακόβουλα συνημμένα. Παρόλο που ξεκίνησε ως banking trojan, είχε πολυάριθμες συνεργασίες με άλλες συμμορίες ransomware, συμπεριλαμβανομένων των MegaCortex, ProLock, DoppelPaymer και Egregor. Τώρα φαίνεται πως έχει δημιουργηθεί μια νέα συνεργασία μεταξύ του Qbot και του Black Basta ransomware.
Το Black Basta είναι μια σχετικά νέα λειτουργία ransomware που κατάφερε να παραβιάσει πολλές εταιρείες σε σχετικά σύντομο χρονικό διάστημα. Μετά την κρυπτογράφηση, οι hackers απαιτούσαν μεγάλα χρηματικά ποσά από τα θύματα.
Η νέα συνεργασία μεταξύ του Qbot και του Black Basta ανακαλύφθηκε από ερευνητές της NCC Group. Ενώ οι συμμορίες ransomware χρησιμοποιούν συνήθως το QBot για αρχική πρόσβαση, οι ερευνητές είδαν ότι η συμμορία Black Basta το χρησιμοποίησε για να εξαπλωθεί laterally σε όλο το δίκτυο.
Δείτε επίσης: Ο δήμος του Παλέρμο στη Νότια Ιταλία υπέστη κυβερνοεπίθεση
Πιο συγκεκριμένα, το κακόβουλο λογισμικό δημιουργεί εξ αποστάσεως μια προσωρινή υπηρεσία στον κεντρικό υπολογιστή-στόχο και τον διαμορφώνει ώστε να εκτελεί το DLL του χρησιμοποιώντας το regsvr32.exe.
Μόλις το Qbot είναι έτοιμο και αρχίσει να λειτουργεί, μπορεί να μολύνει network shares και drives, να κάνει brute-force σε AD accounts ή να χρησιμοποιήσει το πρωτόκολλο SMB (Server Message Block) file-sharing για να δημιουργήσει αντίγραφα του εαυτού του ή να εξαπλωθεί μέσω προεπιλεγμένων admin shares χρησιμοποιώντας τα τρέχοντα user credentials.
“Το Qakbot ήταν η κύρια μέθοδος που χρησιμοποιήθηκε από τον παράγοντα απειλών για να διατηρήσει την παρουσία του στο δίκτυο. Ο παράγοντας απειλών χρησιμοποιεί επίσης Cobalt Strike beacons κατά τη διάρκεια της παραβίασης“, εξηγούν οι ερευνητές στην έκθεσή τους.
Οι αναλυτές σημειώνουν επίσης ότι ανακάλυψαν ένα αρχείο κειμένου με το όνομα “pc_list.txt” στο Windows folder, το οποίο περιείχε μια λίστα με εσωτερικές διευθύνσεις IP όλων των συστημάτων στο δίκτυο. Οι ερευνητές πιστεύουν ότι η λίστα πιθανότατα δημιουργήθηκε από το Qbot.
Απενεργοποίηση του Windows Defender
Στην πρόσφατη επίθεση που παρατηρήθηκε από τους ερευνητές της NCC, το Black Basta ransomware χρησιμοποιεί τα ίδια χαρακτηριστικά που παρατηρήθηκαν από την αρχή της λειτουργίας του.
Για παράδειγμα το ransomware μπορεί να αλλάξει την εικόνα της ταπετσαρίας, να διαγράψει shadow copies, ενώ μετά την κρυπτογράφηση, προσθέτει την επέκταση .basta στα κρυπτογραφημένα αρχεία και δημιουργεί ένα company ID στα σημειώματα λύτρων.
Δείτε επίσης: Οι συμμορίες ransomware διεκδικούν τα ίδια θύματα
Ωστόσο, σύμφωνα με την NCC, οι επιτιθέμενοι απενεργοποιούν επίσης το Windows Defender για να αποφύγουν τον εντοπισμό και να ελαχιστοποιήσουν τις πιθανότητες αποτυχίας της κρυπτογράφησης.
Οι χειριστές του Black Basta ransomware το καταφέρνουν αυτό είτε εκτελώντας εντολές PowerShell είτε δημιουργώντας ένα GPO σε έναν παραβιασμένο Domain Controller, που εκτελεί αλλαγές στο Windows Registry.
Το Qbot μπορεί να μετακινηθεί γρήγορα μέσα σε παραβιασμένα δίκτυα, αρπάζοντας τα τραπεζικά credentials. Ωστόσο, το ransomware payload δεν λαμβάνεται αμέσως, επομένως αν το θύμα αντιληφθεί γρήγορα ότι κάτι δεν πάει καλά, μπορεί να δράσει και να αποφύγει τη μεγαλύτερη ζημιά.
Το trojan έχει περίπλοκα και ποικίλα μονοπάτια επίθεσης, το καθένα με τις δικές του ευκαιρίες εντοπισμού, αλλά όλα ξεκινούν με την άφιξη του κακόβουλου email. Επομένως, το πρώτο και βασικότερο βήμα για να μείνετε ασφαλείς είναι να είστε προσεκτικοί με τα emails που λαμβάνετε και να μην ανοίγετε συνδέσμους και συνημμένα που φαίνονται ύποπτα.
Πηγή: www.bleepingcomputer.com