Značajno curenje internih dnevnika razgovora iz grupe Black Basta ransomware omogućilo je istraživačima sajber sigurnosti neviđen uvid u njihove operacije.
Korisnik Telegrama po imenu ExploitWhispers otkrio je da je curenje sadržalo približno 200.000 poruka za ćaskanje datiranih od septembra 2023. do juna 2024.
Ova sigurnosna povreda je konkurentska curenjima iz 2022. koja su uticala na bandu ransomware-a Conti i dala je stručnjacima za obavještajne podatke o prijetnjama vrijedne informacije o mogućnostima, alatima i motivacijama Black Baste.
Black Basta, koja se pojavila 2022. godine, radi po modelu Ransomware-as-a-Service (RaaS) i ciljala je brojne zemlje širom svijeta, uključujući Sjedinjene Države, Japan, Australiju, Ujedinjeno Kraljevstvo, Kanadu i Novi Zeland.
Finansijski motivisana grupa koja govori ruski koristi taktiku dvostruke iznude pri čemu ne samo da šifruju podatke žrtava već i prijete da će objaviti eksfiltrirane informacije ako se zahtjevi za otkupninom ne ispune.
Njihov uticaj je bio značajan, sa preko 500 entiteta širom Sjeverne Amerike, Evrope i Australije pogođenih između aprila 2022. i maja 2024.
Dana 10. maja 2024., u zajedničkom izvještaju Agencije za sajber sigurnost i sigurnost infrastrukture (CISA) i Federalnog istražnog biroa (FBI) detaljno su opisane opsežne aktivnosti Black Baste.
U izvještaju je istaknuto da je grupa ciljala 12 od 16 kritičnih infrastrukturnih sektora, pri čemu su istraživači primijetili povećan fokus na zdravstvene organizacije zbog njihove veličine i potencijalnog uticaja.
Ova kolaborativna analiza, objavljena u saradnji sa Ministarstvom zdravlja i ljudskih službi i Centrom za razmjenu informacija i analizu više država, pružila je ključne informacije o taktikama, tehnikama i procedurama grupe (TTP) i pokazateljima kompromisa.
Prema lovcima na prijetnje u Intel471 koji su analizirali procurile komunikacije, Black Basta metodologija napada počinje početnim pristupom prvenstveno putem phishing emailova koji sadrže maliciozne priloge ili linkove, kompromitovane web stranice ili iskorištavanje poznatih ranjivosti.
Tehnički arsenal i metodologije
Curenje je otkrilo sofisticirani tehnički arsenal koji koriste Black Basta operateri. Njihova faza izviđanja uključuje korištenje alata za otkrivanje kao što su ifconfig.exe, netstat.exe i ping.exe, zajedno sa zloupotrebom WMIC-a za prikupljanje informacija o ciljnim mrežama.
Mrežni skener SoftPerfect (netscan.exe) se posebno koristi za ispitivanje mreža žrtava.
Za izbjegavanje odbrane, grupa koristi privremene direktorijume, zloupotrebljava komponentu usluge inteligentnog prenosa u pozadini (BITS) i menja Windows Defender.
Alat pod nazivom Backstab ponekad se koristi da onemogući antivirusne proizvode koji mogu ometati njihov rad.
Pristup komandi i kontroli se uspostavlja putem alata za daljinsko upravljanje kao što je AnyDesk, dok je bočno kretanje olakšano preko BITAdmin i PsExec.
Ostali alati uočeni u njihovom arsenalu uključuju Splashtop, Screen Connect i Cobalt Strike beacons.
Za pristup kredencijalima, Black Basta operateri koriste Mimikatz da uklone kredencijale i eskaliraju privilegije unutar ugroženih okruženja. PowerShell skripte se često zloupotrebljavaju za preuzimanje datoteka i izvršavanje malicioznih korisnih podataka.
Eksfiltracija podataka, ključni korak u njihovoj šemi dvostrukog iznuđivanja, provodi se prvenstveno preko uslužnog programa Rclone, a ponekad i WinSCP-a.
Nakon što osiguraju ukradene podatke, operateri počinju šifrovati datoteke na lokalnim i mrežnim diskovima, dodajući ekstenziju “.basta” šifrovanim datotekama i ispuštajući bilješke o otkupnini s uputama za kontaktiranje grupe putem određenih URL-ova.
Grupa održava operativnu sigurnost kroz komunikaciju putem ćaskanja, koja je uključivala diskusije o odabiru meta i tehnikama implementacije ransomware-a koje su sada razotkrivene kroz curenje.
Izvor: CyberSecurityNews