Ερευνητές ασφαλείας παρατήρησαν ότι οι hackers που συνδέονται με το ransomware Black Basta, έχουν αλλάξει τις τακτικές social engineering που χρησιμοποιούν στα αρχικά στάδια της επίθεσης και διανέμουν διαφορετικά κακόβουλα payloads, όπως το Zbot και το DarkGate. Αυτές οι αλλαγές έχουν εντοπιστεί από τις αρχές Οκτωβρίου 2024.
Οι ερευνητές της Rapid7 παρατήρησαν ότι οι χρήστες που βρίσκονται εντός του στοχευμένου περιβάλλοντος, βομβαρδίζονται με email.
Όπως παρατηρήθηκε τον Αύγουστο, οι επιτιθέμενοι έρχονται σε πρώτη επαφή με υποψήφιους στόχους, μέσω του Microsoft Teams. Υποδύονται το προσωπικό υποστήριξης ή το προσωπικό IT της Microsoft. Σε ορισμένες περιπτώσεις, υποδύονται και μέλη του προσωπικού IT εντός του στοχευόμενου οργανισμού.
Δείτε επίσης: Artivion: Ransomware επίθεση “χτύπησε” τον κατασκευαστή ιατρικών συσκευών
Xάκερ παρακάμπτουν την προστασία phishing του iMessage
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Οι χρήστες που καταλήγουν να αλληλεπιδρούν με τη ransomware συμμορία Black Basta καλούνται να εγκαταστήσουν στη συσκευή τους νόμιμο λογισμικό απομακρυσμένης πρόσβασης, όπως το AnyDesk, το ScreenConnect, το TeamViewer και το Quick Assist της Microsoft.
Η Rapid7 είπε ότι, σε ορισμένες περιπτώσεις, η ransomware ομάδα προσπάθησε να αξιοποιήσει τον OpenSSH client για να δημιουργήσει ένα reverse shell, καθώς και να στείλει κακόβουλο QR code στο θύμα μέσω chat, για να κλέψει πιθανώς τα credentials του.
Ωστόσο, η εταιρεία κυβερνοασφάλειας ReliaQuest είπε ότι οι QR codes μπορεί να χρησιμοποιούνται για να κατευθύνουν τους χρήστες σε περαιτέρω κακόβουλες υποδομές.
Η απομακρυσμένη πρόσβαση, που διευκολύνεται από την εγκατάσταση του AnyDesk (ή άλλων αντίστοιχων εργαλείων), χρησιμοποιείται για την παράδοση πρόσθετων payloads στον παραβιασμένο υπολογιστή, συμπεριλαμβανομένου ενός προγράμματος συλλογής credentials που ακολουθείται από την εκτέλεση του Zbot (γνωστός και ως ZLoader) ή του DarkGate, το οποίο μπορεί να χρησιμεύσει ως πύλη για επακόλουθες επιθέσεις.
Ο γενικός στόχος μετά την αρχική πρόσβαση φαίνεται να είναι η κλοπή των credentials των χρηστών και η ανάπτυξη του Black Basta ransomware.
Η Black Basta αναδύθηκε ως μια αυτόνομη ομάδα, στον απόηχο του τερματισμού της ransomware επιχείρησης Conti. Για την αρχική πρόσβαση, χρησιμοποιούνταν συνήθως το QakBot και διάφορες τεχνικές social engineering. Έκτοτε έχουν χρησιμοποιηθεί διάφορα άλλα payloads, όπως τα: KNOTWRAP, KNOTROCK, DAWNCRY, PORTYARD και COGSCAN.
Δείτε επίσης: Ρουμανία: Η Electrica Group θύμα ransomware επίθεσης
«Η εξέλιξη του Black Basta στη διάδοση κακόβουλου λογισμικού δείχνει μια περίεργη μετατόπιση από μια καθαρά βασισμένη σε botnet προσέγγιση σε ένα υβριδικό μοντέλο που ενσωματώνει το social engineering», δήλωσε ο Yelisey Bohuslavskiy της RedSense.
Προστασία από ransomware
Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware (π.χ. Black Basta). Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Δείτε επίσης: Termite ransomware: Όσα πρέπει να γνωρίζετε για τη νέα απειλή!
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransοmware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις.
Πηγή: thehackernews.com