Finansal olarak motive olmuş siber suçlular, Black Basta fidye yazılımı yüklerini kurban ağlarına dağıtmak için sosyal mühendislik saldırılarındaki Windows Hızlı Yardım özelliğini kötüye kullanır.
Microsoft, en azından Nisan ortası 2024'ten beri bu kampanyayı araştırıyor ve gözlemledikleri gibi, tehdit grubu (Storm-1811 olarak izlendi), adreslerini çeşitli e-posta abonelik hizmetlerine abone olduktan sonra hedefe bombalayarak saldırılarına başladı.
Posta kutuları istenmeyen mesajlarla sular altında kaldıktan sonra, tehdit aktörleri bir Microsoft teknik desteğini veya saldırıya uğramış şirketin BT veya yardım masası personelinin spam sorunlarını gidermeye yardımcı olmak için taklit ederken çağırır.
Bu sesli kimlik avı saldırısı sırasında, saldırganlar kurbanları hızlı yardımcı yerleşik uzaktan kumanda ve ekran paylaşım aracını başlatarak Windows cihazlarına erişim sağlamaları için kandırırlar.
Microsoft, "Kullanıcı erişim ve denetime izin verdikten sonra, tehdit oyuncusu, kötü niyetli yükler sunmak için kullanılan bir dizi toplu dosyayı veya fermuar dosyasını indirmek için komut dosyası komutu çalıştırır." Dedi.
"Bazı durumlarda Microsoft Tehdit İstihbaratı, Qakbot'un indirilmesine yol açan bu tür bir etkinliği, Screenconnect ve Netsupport Manager ve Cobalt Strike gibi RMM araçlarının indirilmesine yol açtı."
Kötü amaçlı araçlarını yükledikten ve telefon görüşmesini tamamladıktan sonra, Storm-1811 alan numaralandırmasını gerçekleştirir, kurbanın ağından yanal olarak hareket eder ve Windows Psexec Telnet-Repracement aracını kullanarak Black Basta fidye yazılımı dağıtır.
Saldırıları da tespit eden siber güvenlik şirketi Rapid7, kötü niyetli aktörlerin "kurbanın kimlik bilgilerini PowerShell kullanarak komut satırından hasat etmek için bir parti komut dosyası kullanacağını" söyledi.
"Kimlik bilgileri, kullanıcının oturum açması için 'güncelleme' yanlış bağlamında toplanmıştır. Gözlenen parti komut dosyası varyasyonlarının çoğunda, kimlik bilgileri hemen tehdit aktörünün sunucusuna güvenli bir kopya komutu (SCP)," Rapid7 eklendi.
"En az bir gözlemlenen komut dosyası varyantında, kimlik bilgileri bir arşive kaydedilir ve manuel olarak alınmalıdır."
Bu sosyal mühendislik saldırılarını engellemek için Microsoft, ağ savunucularına kullanılmadıkları takdirde Hızlı Yardım ve benzer uzaktan izleme ve yönetim araçlarını engellemelerini veya kaldırmalarını ve çalışanları teknoloji destek dolandırıcılıklarını tanımak için eğitmelerini tavsiye eder.
Bu saldırılarda hedeflenenler, yalnızca BT destek personeliyle veya Microsoft desteğiyle temasa geçtikleri takdirde cihazlarına bağlanmalarına izin vermeli ve kötü niyetli niyetten şüpheleniyorlarsa hızlı yardım oturumlarını hemen ayırmalıdır.
Conti siber suç grubu iki yıl önce bir dizi utanç verici veri ihlali sonrasında kapandıktan sonra, biri siyah Basta olduğuna inanılan birden fazla grup haline geldi.
Black Basta, Nisan 2022'de bir Hizmet Olarak Fidye Yazılımı (RAAS) operasyonu olarak ortaya çıktı. O zamandan beri, bağlı kuruluşları, Alman savunma yüklenicisi Rheinmetall, Hyundai'nin Avrupa Bölümü, Hyundai'nin Avrupa Bölümü de dahil olmak üzere birçok yüksek profilli kurbanı ihlal etti. Toronto Halk Kütüphanesi, Amerikan Dişhekimliği Derneği, Endüstriyel Otomasyon Şirketi ve Devlet Yüklenicisi ABB, Sobeys, Knauf ve Sarı Sayfalar Kanada.
Son zamanlarda, Black Basta, ABD sağlık devi yükselişini vuran ve ambulansları etkilenmeyen tesislere yönlendirmeye zorlayan bir fidye yazılımı saldırısıyla bağlantılıydı.
CISA ve FBI'ın geçen hafta ortak danışmanlıkta açıkladığı gibi, Black Basta fidye yazılımı iştirakleri Nisan 2022 ile Mayıs 2024 arasında 500'den fazla kuruluşu ihlal etti ve 16 kritik altyapı sektöründen en az 12'sinden veri şifreledi ve çaldı.
Sağlık-ISAC (Bilgi Paylaşımı ve Analiz Merkezi) ayrıca bir tehdit bülteninde fidye yazılımı çetesinin "son zamanlarda sağlık sektörüne yönelik saldırıları hızlandırdığı" konusunda uyardı.
Siber güvenlik şirketi Eliptik ve Siber Sigorta Şirketi Corvus Sigorta Araştırması'na göre, Black Basta, Kasım 2023'e kadar 90'ın üzerinde kurbandan fidye ödemesinde en az 100 milyon dolar topladı.
CISA: Black Basta Ransomware dünya çapında 500'den fazla orgs'i ihlal etti
Ransomware'de Hafta - 10 Mayıs 2024 - Lockbit'te yontulma
Botnet Lockbit Black Fidye Yazılımı Kampanyasına Milyonlarca E -posta Gönderdi
Hacking forumlarında 300.000 $ karşılığında fidye yazılımı kaynak kodu satış
Medisecure e-script firması 'büyük ölçekli' fidye yazılımı veri ihlali
Kaynak: Bleeping Computer