Black Basta 勒索软件利用最新社会工程手段发起反击
Table of Contents
什么是 Black Basta 勒索软件?
Black Basta 是一种复杂的勒索软件,于 2022 年出现。据信它是由现已解散的Conti集团的残余势力演变而来的。与主要依靠自动化系统来破坏网络的传统勒索软件不同,Black Basta 采用了先进的恶意软件和社会工程技术的混合。这种双重方法增强了其渗透组织并实现其目标的能力。
Black Basta 最初以利用QakBot等僵尸网络入侵系统而闻名,此后其策略也变得多样化。最近的活动揭示了该组织对欺骗性目标互动的依赖,凸显了其在寻找组织内部漏洞方面的适应性。
黑巴斯塔想要什么?
Black Basta 的主要目标是获取经济利益。与许多勒索软件组织一样,其行动围绕加密目标组织内的敏感数据并要求支付解密密钥。然而,其实现这一目标的方法却独具匠心。
该组织使用一系列恶意软件工具来支持其行动。这些工具包括凭证收集软件、自定义隧道实用程序和侦察工具,用于识别受感染网络中的关键系统。这些技术使 Black Basta 能够窃取数据并控制受害者的基础设施,从而增加遵守其要求的压力。
社会工程学:他们的战略的关键
Black Basta 活动的一个显著特点是他们使用社会工程学来获取目标环境的访问权限。他们的策略包括冒充 IT 人员或支持人员,通常通过 Microsoft Teams 等平台发起联系。受害者被说服安装合法的远程访问软件,例如 AnyDesk 或 TeamViewer,以解决技术问题为幌子。这种访问权限允许攻击者部署其他恶意软件,包括 Zbot(也称为 ZLoader)和 DarkGate 等工具。
在某些情况下,他们通过让用户注册大量邮件列表来向用户发送大量电子邮件。这种被称为电子邮件轰炸的策略可以在攻击者直接联系之前压倒并分散受害者的注意力。这些社交工程策略通常最终会试图获取凭据、绕过多因素身份验证 (MFA) 并建立对组织网络的更深层次的访问权限。
对组织的影响
Black Basta 勒索软件攻击的影响可能远远超出赎金支付带来的直接经济损失。该组织能够窃取凭证、访问 VPN 配置并绕过 MFA,这对组织的运营连续性和数据完整性构成了重大风险。此外,他们的策略通常涉及泄露敏感数据,这些数据可用于进一步勒索或在地下市场上出售。
Black Basta 使用的恶意软件工具进一步放大了潜在的损害。这些工具包括以下高级实用程序:
- KNOTWRAP :一种仅存在于内存中的投放器,它可以投放额外的有效载荷,而不会留下文件痕迹。
- KNOTROCK :用于执行勒索软件负载的.NET 实用程序。
- DAWNCRY :另一个仅针对内存的植入程序,可将恶意资源直接解密到内存中。
- PORTYARD :一种与命令和控制服务器建立通信的隧道工具。
- COGSCAN :用于绘制网络环境的侦察工具。
每一种工具都体现了一定的复杂程度,凸显了该集团在运营中的适应和创新能力。
进化为何重要
Black Basta 从以僵尸网络为中心的模式演变为融合社会工程学的模式,表明勒索软件团体的运作方式发生了变化。这种混合方法使它们更加灵活,更难以防御。通过将恶意软件与人为主导的策略相结合,Black Basta 可以利用更广泛的漏洞,包括传统网络安全措施可能忽略的漏洞。
这种适应性使 Black Basta 成为当前网络安全领域最持久的勒索软件威胁之一。他们的活动表明,技术专长与心理操纵的结合可以给组织带来巨大的挑战。
降低风险的措施
虽然没有哪个组织能够完全免受勒索软件攻击,但采取主动的网络安全措施可以降低成为 Black Basta 等组织受害者的风险。措施包括:
- 培训员工:教育员工识别社会工程策略和网络钓鱼企图至关重要。对不寻常的 IT 请求或未经请求的通信的认识可以作为第一道防线。
- 加强访问控制:实施强大的密码策略、启用 MFA 以及定期审查访问权限可以限制凭证收集工具的有效性。
- 网络监控:持续监控异常活动,例如使用远程访问软件或意外的数据传输,可以帮助及早发现潜在的漏洞。
- 定期备份:维护安全和最新的备份可确保组织在发生攻击时能够快速恢复。
关键要点
Black Basta 是一个引人注目的例子,展示了勒索软件团伙如何不断演变,以在日益安全的数字环境中保持影响力。通过将高级恶意软件与有针对性的社交工程相结合,他们已成为一个老练而多才多艺的威胁行为者。对于组织而言,挑战在于通过警惕、教育和强大的网络安全实践保持领先一步。了解 Black Basta 等团伙所采用的策略是防御其攻击的重要一步。
