El enorme éxito Bastante negro El grupo de ransomware ha pasado a utilizar nuevas herramientas personalizadas y técnicas de acceso inicial como parte de un cambio de estrategia tras la eliminación de la botnet Qakbot el año pasado.
La evolución del grupo, que ha comprometido a más de 500 víctimas y el creciente número de casos demuestra la resiliencia de los grupos de amenazas que han tenido que cambiar de táctica sobre la marcha debido a la aplicación de la ley y otras interrupciones y, sin embargo, de alguna manera continúan prosperando en sus operaciones cibercriminales, dijeron los expertos.
La fama inicial de Black Basta se debió a su uso prolífico de Qakbotque distribuyó a través de campañas de phishing sofisticadas y escalables. Como troyano de acceso inicial, Qakbot podría luego implementar una serie de herramientas de código abierto disponibles públicamente y, en última instancia, el ransomware homónimo de la pandilla. Sin embargo, hace aproximadamente un año, la botnet Qakbot fue eliminada en gran medida (aunque desde entonces ha resurgido) como parte de una campaña federal de aplicación de la ley llamada Operación Caza de Patosobligando al grupo a encontrar nuevas formas de acceso a la infraestructura de las víctimas.
Al principio, Black Basta continuó utilizando phishing y incluso vishing para difundir otros tipos de malware, como Darkgate y Pikabotpero pronto comenzó a buscar alternativas para realizar otras actividades maliciosas, revelaron investigadores de Mandiant. en una publicación de blog esta semana.
El grupo, al que Mandiant rastrea bajo el nombre UNC4393, ahora se ha adaptado a una «transición de herramientas fácilmente disponibles al desarrollo de malware personalizado, así como a [an] «La evolución de la dependencia de los corredores de acceso y la diversificación de las técnicas de acceso inicial» en ataques recientes, escribieron los investigadores de Mandiant en la publicación.
El resurgimiento de “Noche de Paz”
Uno de los nuevos métodos de acceso inicial implica implementar una puerta trasera llamada SilentNight, que el grupo utilizó en 2019 y 2021 respectivamente, antes de dejarla de lado hasta el año pasado. A principios de este año, el grupo comenzó a utilizarlo nuevamente en sus esfuerzos de publicidad maliciosa, dijeron los investigadores, lo que marcó «un cambio notable con respecto al Suplantación de identidadque anteriormente era el “único medio conocido de acceso inicial”, escribieron en la publicación.
SilentNight es una puerta trasera C/C++ que se comunica a través de HTTP/HTTPS y puede utilizar un algoritmo de generación de dominio para comando y control (C2). Tiene un marco modular que permite que los complementos proporcionen «funcionalidades versátiles, incluido control del sistema, captura de pantalla, registro de teclas, administración de archivos y acceso a billeteras de criptomonedas», escribieron los investigadores. También apunta a las credenciales mediante la manipulación del navegador.
Una vez que Black Basta obtiene acceso a los entornos objetivo, el grupo utiliza una combinación de técnicas de vida en tierra (LotL) y una variedad de malware personalizado para lograr persistencia y movimiento lateral antes de implementar ransomware, descubrieron los investigadores.
«El objetivo de UNC4393 es recopilar la mayor cantidad de datos posible lo más rápido posible, luego exfiltrar los datos recopilados para participar en una extorsión multifacética, explotando la amenaza de fuga de datos para presionar a las víctimas para que paguen las demandas de rescate», dijeron los investigadores. anotado.
Herramientas personalizadas para optimizar los ataques
Una de las primeras herramientas nuevas implementadas después de obtener acceso inicial se llama Cogscan, que parece haber reemplazado las herramientas de código abierto utilizadas anteriormente por el grupo, como Bloodhound, Adfind y PSNmap para ayudar a mapear redes de víctimas e identificar oportunidades de movimiento lateral o escalada de privilegios.
Cogscan es una herramienta de reconocimiento .NET utilizada para enumerar hosts en una red y recopilar información del sistema, y Black Basta la llama internamente «GetOnlineComputers», observaron los investigadores.
Otra nueva herramienta notable que permite a Black Basta acelerar su implementación de ransomware es Knotrock, una utilidad basada en .NET. Knotrock crea un enlace simbólico en recursos compartidos de red especificados en un archivo de texto local; Después de crear cada enlace simbólico, Knotrock ejecuta un ejecutable de ransomware y le proporciona la ruta al enlace simbólico recién creado.
«En última instancia, Knotrock tiene un doble propósito: ayuda al cifrador Basta existente proporcionando capacidades de comunicación de red y agiliza las operaciones al mapear proactivamente rutas de red viables, reduciendo así el tiempo de implementación y acelerando el proceso de implementación de cifrado», escribieron los investigadores de Mandiant.
El malware representa una evolución en las operaciones de UNC4393, ya que mejora sus capacidades «al acelerar el proceso de cifrado para permitir ataques a mayor escala y reducir significativamente el tiempo de rescate», señalaron.
Otras herramientas nuevas observadas en ataques recientes incluyen una tecnología de túnel para comunicaciones de comando y control (C2) llamada Portyard, y un cuentagotas de solo memoria que descifra un recurso incrustado en la memoria llamado DawnCry, dijeron los investigadores.
Black Basta: sigue existiendo una amenaza importante
Los cambios en el acceso inicial y las herramientas de Black Basta demuestran una «resiliencia» del grupo que demuestra que seguirá representando una amenaza contra «organizaciones de todos los tamaños» incluso cuando se aleje del phishing, que es una de las formas más efectivas de cibercrimen, señaló un experto en seguridad.
“Dado el éxito de esta banda, no hay duda de que tienen una cantidad considerable de fondos almacenados en sus arcas de guerra, lo que les permite desarrollar sus propias herramientas y mejorar sus habilidades. «La capacidad de atacar es una capacidad que nos permite defendernos de los ataques», afirma Erich Kron, defensor de la seguridad de la empresa de seguridad KnowBe4.
De hecho, la capacidad de Black Basta para adaptarse e innovar en el uso de nuevas herramientas y técnicas significa que los defensores también deben ser proactivos y fortalecer sus medidas de seguridad con las últimas tecnologías e inteligencia sobre amenazas disponibles, dijeron los investigadores de Mandiant.
Las medidas defensivas recomendadas por Kron para las organizaciones incluyen “educación y capacitación de los empleados para contrarrestar la ingeniería social; controles estrictos de prevención de pérdida de datos para evitar el robo de datos; una buena Detección y respuesta de endpoints un sistema capaz de detectar y detener intentos de cifrado de archivos desde ordenadores infectados; y copias de seguridad inmutables y probadas para permitir una recuperación rápida en caso de cifrado del sistema.
