Black Basta Ransomware evolui

Black Basta Ransomware evolui com Bombardeio de E-mail, Códigos QR e Engenharia Social

Os agentes de ameaças vinculados ao ransomware Black Basta foram observados mudando suas táticas de engenharia social, distribuindo um conjunto diferente de cargas úteis, como Zbot e DarkGate, desde o início de outubro de 2024.

“Os usuários dentro do ambiente de destino serão bombardeados por e-mail pelo agente da ameaça, o que geralmente é alcançado inscrevendo o e-mail do usuário em várias listas de discussão simultaneamente”, disse Rapid7. “Após a bomba de e-mail, o agente da ameaça entrará em contato com os usuários afetados.”

Conforme observado em agosto, os invasores fazem contato inicial com alvos em potencial no Microsoft Teams, fingindo ser pessoal de suporte ou equipe de TI da organização. Em alguns casos, eles também foram observados se passando por membros da equipe de TI dentro da organização-alvo.

Os usuários que acabam interagindo com os agentes de ameaças são incentivados a instalar software de acesso remoto legítimo, como AnyDesk, ScreenConnect, TeamViewer e Quick Assist da Microsoft. O fabricante do Windows está rastreando o grupo cibercriminoso por trás do abuso do Quick Assist para a implantação do Black Basta sob o nome de Storm-1811.

A Rapid7 disse que também detectou tentativas feitas pela equipe de ransomware de alavancar o cliente OpenSSH para estabelecer um shell reverso, bem como enviar um código QR malicioso ao usuário vítima por meio dos bate-papos para provavelmente roubar suas credenciais sob o pretexto de adicionar um dispositivo móvel confiável.

No entanto, a empresa de segurança cibernética ReliaQuest, que também relatou a mesma campanha, teorizou que os códigos QR estão sendo usados para direcionar os usuários para mais infraestrutura maliciosa.

O acesso remoto facilitado pela instalação do AnyDesk (ou equivalente) é então usado para fornecer cargas adicionais ao host comprometido, incluindo um programa de coleta de credenciais personalizado seguido pela execução do Zbot (também conhecido como ZLoader) ou DarkGate, que pode servir como um gateway para ataques subsequentes.

“O objetivo geral após o acesso inicial parece ser o mesmo: enumerar rapidamente o ambiente e despejar as credenciais do usuário”, disse o pesquisador de segurança da Rapid7, Tyler McGraw.

“Quando possível, as operadoras também tentarão roubar todos os arquivos de configuração de VPN disponíveis. Com as credenciais do usuário, informações de VPN da organização e possível desvio de MFA, pode ser possível que eles se autentiquem diretamente no ambiente de destino.”

O Black Basta emergiu como um grupo autônomo das cinzas do Conti após o desligamento deste último em 2022, inicialmente apoiando-se no QakBot para se infiltrar nos alvos, antes de diversificar para técnicas de engenharia social. O agente da ameaça, também conhecido como UNC4393, desde então usou várias famílias de malware sob medida para realizar seus objetivos –

• KNOTWRAP, um conta-gotas somente de memória escrito em C/C++ que pode executar uma carga adicional na memória
• KNOTROCK, um . NET usado para executar o ransomware
• DAWNCRY, um conta-gotas somente de memória que descriptografa um recurso incorporado na memória com uma chave codificada
• PORTYARD, um tunelizador que estabelece uma conexão com um servidor de comando e controle (C2) codificado usando um protocolo binário personalizado sobre TCP
• COGSCAN, um assembly de reconhecimento .NET usado para reunir uma lista de hosts disponíveis na rede

“A evolução do Black Basta na disseminação de malware mostra uma mudança peculiar de uma abordagem puramente dependente de botnets para um modelo híbrido que integra engenharia social”, disse Yelisey Bohuslavskiy, da RedSense.

A divulgação ocorre quando a Check Point detalhou sua análise de uma variante Rust atualizada do ransomware Akira, destacando a confiança dos autores do malware em código clichê pronto associado a bibliotecas e caixas de terceiros, como indicatif, rust-crypto e seahorse.

Os ataques de ransomware também empregaram uma variante do ransomware Mimic chamada Elpaco, com infecções Rhysida também empregando o CleanUpLoader para ajudar na exfiltração e persistência de dados. O malware geralmente é disfarçado de instaladores de software popular, como Microsoft Teams e Google Chrome.

“Ao criar domínios com erros de digitação semelhantes a sites populares de download de software, a Rhysida engana os usuários para que baixem arquivos infectados”, disse a Recorded Future. “Essa técnica é particularmente eficaz quando combinada com o envenenamento de SEO, no qual esses domínios são classificados mais alto nos resultados dos mecanismos de pesquisa, fazendo com que apareçam como fontes legítimas de download.”

Fonte: The Hackers News

Veja também:

• Para o cibercrime todo dia é Black Friday ou Cyber Monday
• QNAP corrige falhas críticas no software do NAS e do roteador
• Huawei e MEC lançam programa “Mulheres para a Tecnologia Brasileira” 
• Cloudflare perdeu 55% dos logs enviados aos clientes por 3,5 horas
• Descoberto o primeiro malware de bootkit UEFI para Linux
• Golpe em estações de recarga de carro elétrico
• Empresas foram atacadas 174 milhões de vezes em 12 meses
• Deloitte UK hackeada – Brain Cipher Group afirma ter roubado 1 TB de dados
• Proteção de dados e IA são tendências de cibersegurança em 2025
• Alerta de vulnerabilidades: Microsoft, Facebook e WordPress
• 1 milhão de jogadores em risco
• Setor financeiro é alvo principal de cibercriminosos