Black Basta Ransomware Gang, hacklenen kurumsal ortamlar aracılığıyla yanal olarak yayılmak için QBOT kötü amaçlı yazılım işlemiyle ortaklık kurdu.
QBOT (Quakbot), banka kimlik bilgilerini, Windows etki alanı kimlik bilgilerini çalan ve enfekte olmuş cihazlarda daha fazla kötü amaçlı yazılım yükü sunan Windows kötü amaçlı yazılımdır.
Mağdurlar genellikle kötü niyetli eklerle kimlik avı saldırıları yoluyla QBOT ile enfekte olurlar. Bir bankacılık Truva atı olarak başlamasına rağmen, Megacortex, Prolock, Doppelpaymer ve Egregor da dahil olmak üzere diğer fidye yazılımı çeteleriyle çok sayıda işbirliği yaptı.
Black Basta, etkileyici bir şekilde başlayan ve büyük fidye ödemeleri talep ederken birçok şirketi nispeten kısa bir sürede ihlal eden nispeten yeni bir fidye yazılımı operasyonudur.
NCC Group'taki analistler, tehdit oyuncusu tarafından kullanılan teknikleri belirleyebildikleri yakın tarihli bir olay yanıtı sırasında Qakbot ve Black Basta arasındaki yeni ortaklığı keşfettiler.
Fidye yazılımı çeteleri normalde ilk erişim için QBOT kullanırken, NCC siyah Basta çetesinin bunu ağ boyunca yanal olarak yaymak için kullandığını söylüyor.
Daha spesifik olarak, kötü amaçlı yazılımlar uzaktan hedef ana bilgisayarda geçici bir hizmet oluşturur ve regsvr32.exe kullanarak DLL'sini yürütecek şekilde yapılandırır.
Qakbot çalışır durumda olduğunda, ağ paylaşımlarını ve sürücülerini enfekte edebilir, Brute-Force Reklam hesaplarını kullanabilir veya kendi kopyalarını oluşturmak için SMB (Sunucu Mesaj Bloğu) dosya paylaşım protokolünü kullanabilir veya mevcut kullanıcı kimlik bilgilerini kullanarak varsayılan yönetici paylaşımları aracılığıyla yayılabilir.
“Qakbot, tehdit oyuncusu tarafından ağdaki varlıklarını korumak için kullanılan birincil yöntemdi. Tehdit oyuncusu, uzlaşma sırasında Cobalt Strike Beacons kullanılarak da gözlendi ”diye açıklıyor NCC grubunun raporu.
Analistler ayrıca, Windows klasöründe, qakbot tarafından oluşturulan ağdaki tüm sistemlerin dahili IP adreslerinin bir listesini içeren “PC_LIST.TXT” adlı bir metin dosyası keşfettiklerini belirtiyorlar.
NCC müdahale ekipleri tarafından gözlemlenen son saldırıda, Black Basta, BleepingComputer'ın başlangıçta bildirdiğinden beri görülen aynı özellikleri gösterir.
Bu özellikler, duvar kağıdı simgesinin değiştirilmesi, gölge kopyalarının silinmesi, şifrelenmiş dosyalara .basta uzantısını eklemeyi ve fidye notlarında bir şirket kimliği oluşturulmasını içerir.
Bununla birlikte, NCC, tehdit aktörlerinin, algılamadan kaçınmak ve şifreleme adımının başarısını tehlikeye atma şansını en aza indirmek için Windows Defans'ı da devre dışı bıraktığını belirtiyor.
Fidye yazılımı operatörleri, PowerShell komutlarını yürüterek veya Windows kayıt defterinde değişiklikler yapacak olan güvenliği ihlal edilmiş bir etki alanı denetleyicisinde bir GPO oluşturarak bu hedefe ulaştı.
Qakbot, tehlikeye atılan ağların içine hızlı bir şekilde hareket edebilir, hesap kimlik bilgilerini kapabilir ve bitişik iş istasyonlarına dönebilir. Yine de, fidye yazılımı yükü hemen getirilmez, bu nedenle felaket vurmadan önce savunucular için her zaman bir fırsat penceresi vardır.
Truva atı, her biri kendi tespit fırsatlarına sahip karmaşık ve değişen saldırı yollarına sahiptir, ancak hepsi kötü niyetli bir e -postanın gelişiyle başlar. Bu nedenle, en çok dikkatin ödenmesi gereken, eklentileri açmaktan veya gömülü bağlantılara tıklayarak.
Black Basta Ransomware hedefleri VMware ESXI sunucularının Linux sürümü
Fidye Yazılımında Hafta - 13 Mayıs 2022 - Ulusal Acil Durum
Conti, Revil, Lockbit fidye yazılımı hataları, şifrelemeyi engellemek için sömürüldü
Ransomware'de Hafta - 29 Nisan 2022 - Yeni Operasyonlar Ortaya Çıkıyor
Yeni Siyah Basta Fidye Yazılımı, bir düzine ihlalle harekete geçiyor
Kaynak: Bleeping Computer