گروه باج افزار Black Basta روند تکاملی قابل توجهی را به ویژه پس از اختلال در عملکرد بدافزار QBot در تاکتیکهای خود اتخاذ کرده است. هکرهای این گروه باج افزاری از اوایل اکتبر ۲۰۲۴ تاکتیکهای مهندسی اجتماعی خود را تغییر دادهاند و مجموعهای متفاوت از پیلودها مانند Zbot و DarkGate را توزیع میکنند!
فعالیت Black Basta از آوریل ۲۰۲۲ آغاز شد و به سرعت به دلیل حملات پیچیده به بخشهای مختلف از جمله مراقبتهای بهداشتی، مالی و تولیدی شهرت پیدا کرد. پیشرفتهای اخیر این گروه نشاندهنده تغییر تاکتیکهای آن به سمت استراتژیهای تهاجمیتر و نوآورانهتر است که شامل بمباران صندوق ورودی ایمیل قربانیان توسط هرزنامهها، کدهای QR و تکنیکهای مهندسی اجتماعی پیشرفتهتر میباشد.
تاکتیکهای در حال تکامل گروه باج افزار Black Basta
۱. بمباران ایمیل: گروه Black Basta تاکتیکی را اتخاذ کرده است که صندوق ورودی ایمیل کاربران را توسط ایمیلهای هرزنامه پر میکند. این حجم بسیار زیاد از ایمیلهای دریافتی، صندوق ورودی ایمیل را تقریباً غیرقابل استفاده خواهد کرد.
هکرها پس از این مرحله، با کاربران مورد نظر تماس حاصل خواهند کرد و به او پیشنهاد حل این مشکل به وجود آمده را خواهند داد. با قبول پیشنهاد از سوی قربانی، هکر خواهد توانست به سیستم او از راه دور دسترسی پیدا کند و یک بدافزار را بر روی دستگاه قربانی نصب کند.
نمونه این واقعه در ماه آگوست مشاهده شد. مهاجمان با اهداف احتمالی در Microsoft Teams تماس برقرار کردند و وانمود کردند که پرسنل پشتیبانی یا کارکنان فناوری اطلاعات سازمان میباشند. آنها در برخی موارد، هویت اعضای کارکنان فناوری اطلاعات سازمان را نیز جعل کرده بودند.
در نهایت از کاربرانی که با هکرها وارد تعامل شده بودند، خواسته شده بود تا نرم افزارهای دسترسی از راه دور قانونی مانند AnyDesk، ScreenConnect، TeamViewer و Quick Assist مایکروسافت را نصب کنند. مایکروسافت در حال ردیابی این گروه مجرم سایبری است که به دلیل سوء استفاده از Quick Assist برای استقرار Black Basta تحت نام Storm-1811 دنبال میشود.
۲. استفاده از کدهای QR: گروه Black Basta همچنین شروع به استفاده از کدهای QR مخرب به عنوان ابزاری برای ارسال بدافزار کرده است. این روش به مهاجمان اجازه میدهد تا اقدامات امنیتی را دور بزنند و مستقیماً کاربران را به شیوهای به ظاهر بیضرر درگیر کنند و احتمال آلودگی به بدافزار را افزایش دهند.
نمونهای از این تاکتیک به بررسیهای Rapid7 باز میگردد که تلاشهایی را توسط این گروه باج افزاری برای ارسال یک کلاینت OpenSSH به قربانی مشاهده کرده است. این اقدام به منظور ایجاد یک Shell معکوس و همچنین ارسال کد QR مخرب به کاربر قربانی از طریق چت برای ربودن دادههای لاگین و گواهیهای اعتبار صورت میپذیرد.
با این حال، شرکت امنیت سایبری ReliaQuest نیز با نظریهپردازی در خصوص روند جدید گروه Black Bastaاعلام کرده است که کدهای QR اغلب برای هدایت کاربران به زیرساختهای مخرب استفاده میشوند.
۳. مهندسی اجتماعی: ترکیبی از بمباران ایمیل و تکنیکهای مهندسی اجتماعی میتواند اثربخشی حملات این گروه را افزایش دهد.
همانطور که اشاره شد، دسترسی از راه دور به سیستم قربانی با نصب AnyDesk یا نرم افزارهای مشابه ایجاد میشود. پس از این مرحله، پیلودهای مخرب از جمله یک برنامه استخراج دادههای لاگین و به دنبال آن بدافزارهای Zbot (معروف به ZLoader) یا DarkGate روی دستگاه قربانی مستقر و اجرا میشوند که میتوانند بستر حملات بعدی را فراهم آورند.
به نظر میرسد هدف کلی گروه باج افزار Black Basta پس از ایجاد دسترسی، شمارش میزبانهای شبکه و استخراج دادههای لاگین کاربر است.
اپراتورهای بدافزار در صورت امکان سعی میکنند فایلهای پیکربندی VPN موجود را بربایند. آنها با داشتن دادههای لاگین کاربر، اطلاعات VPN سازمان و دور زدن (بای پس) مکانیزم احراز هویت چند مرحلهای ( MFA)، ممکن است بصورت مستقیم در سیستم هدف، احراز هویت شوند.
Black Basta در سال 2022 به عنوان یک گروه خودمختار از خاکستر گروه Conti ظاهر شد و در ابتدا برای نفوذ به اهداف خود به Qakbot متکی بود. این گروه از آن زمان تاکنون از خانوادههای بدافزارهای مختلف برای انجام عملیات خود استفاده کرده است، از جمله:
- KNOTWRAP، یک دراپر (dropper یا تصب کننده بدافزار) مختص حافظه که به زبان C/C++ نوشته شده است و میتواند پیلودهای بیشتری را در حافظه اجرا کند.
- Knotrock ، یک ابزار مبتنی بر دات نت که برای اجرای باج افزار استفاده میشود.
- Dawncry ، یک دراپر مختص حافظه است که یک منبع نهفته (embedded resource) را با یک کلید هاردکد شده در حافظه رمزگشایی میکند.
- PORTYARD، یک تانل است که با استفاده از یک پروتکل باینری سفارشی از طریق TCP، با یک سرور فرماندهی و کنترل (C2) هاردکد شده ارتباط برقرار میکند.
- COGSCAN، یک ابزار شناسایی مبتنی بر دات نت است که برای جمع آوری لیستی از میزبان های موجود در شبکه استفاده میشود. COGSCAN در واقع این قابلیت را به اپراتورهای Black Basta میدهد تا محیطهای هدف خود را ترسیم کنند و استراتژیهای نفوذ موثرتری را اتخاذ نمایند.
این گروه باج افزاری غالبا استراتژی اخاذی مضاعف را دنبال میکند که در آن نه تنها فایلها را رمزگذاری مینماید، بلکه تهدید میکند که دادههای ربوده شده را در صورت عدم پرداخت باج درخواستی از سوی قربانی، منتشر خواهد کرد. این تاکتیک به منظور تحت فشار قرار دادن قربانیان برای پرداخت باج میباشد.
Black Basta معمولا از ابزارهای پیشرفتهای مانند Cobalt Strike استفاده میکند که حرکت جانبی در شبکه قربانی را امکان پذیر میسازد و عملیات فرماندهی و کنترل را تسهیل میکند.
اقدامات امنیتی برای مقابله با این تهدیدات:
- با مسدود کردن کلیه دامنههای خارجی یا ایجاد لیست سفید/سیاه، تماس کاربر خارجی را با Microsoft Teams محدود کنید.
- ابزارهای مدیریت از راه دور را استانداردسازی نمایید و استفاده ابزارهای تأیید نشده را با مسدود کردن هش و دامنههای شناخته شده مسدود کنید.
- به کاربران در خصوص حملات فیشینگ و تاکتیکهای مهندسی اجتماعی آموزش دهید.
- دسترسی به VPN را استانداردسازی کنید. ترافیک VPN نامعتبر باید مسدود گردد.
سخن پایانی
تکامل تاکتیکهای Black Basta بر تهدید مداوم اپراتورهای باجافزار در چشمانداز سایبری امروز تاکید میکند. استفاده نوآورانه آنها از مهندسی اجتماعی، بمباران ایمیل و کدهای QR نشان میدهد که چگونه مجرمان سایبری به طور مداوم برای فرار از شناسایی و افزایش اثربخشی عملیاتی خود در تلاش هستند.
از این رو، سازمانها میبایست در استراتژیهای امنیت سایبری خود برای دفاع در برابر این تهدیدات در حال تحول هوشیار و فعال باشند. اجرای اقدامات امنیتی قوی، آموزش منظم کارمندان برای شناسایی تلاشهای فیشینگ و بهروزرسانی منظم برنامههای امنیتی، گامهای حیاتی در کاهش خطرات مرتبط با حملات باجافزارهایی مانند Black Basta میباشند.
منابع
مقالات پیشنهادی:
تکامل تهدیدات سایبری در سه ماهه سوم سال ۲۰۲۴ (به استثنای آمار موبایل)
احتمال سوء استفاده باج افزار Black Basta از نقص روز صفر در ویندوز مایکروسافت
حمله باج افزار Black Basta به بیش از ۵۰۰ نهاد در سراسر آمریکای شمالی، اروپا و استرالیا
۶۹ درصد از کل درآمد حاصل از حملات باج افزاری، متعلق به هکرهای روسی زبان است