Black Basta 勒索軟體利用最新的社會工程策略進行反擊
Table of Contents
什麼是 Black Basta 勒索軟體?
Black Basta 是 2022年出現的一種複雜形式的勒索軟體。與主要依靠自動化系統破壞網路的傳統勒索軟體不同,Black Basta 結合了先進的惡意軟體和社會工程技術。這種雙重方法增強了其滲透組織和實現其目標的能力。
Black Basta 最初以利用QakBot等殭屍網路滲透系統而聞名,此後其策略變得多樣化。最近的活動揭示了該組織對與目標的欺騙性互動的依賴,突顯了他們在追蹤組織內部漏洞方面的適應性。
黑巴斯塔想要什麼?
Black Basta 的主要目標是經濟利益。與許多勒索軟體組織一樣,其行動圍繞著加密目標組織內的敏感資料並要求付款以換取解密金鑰。然而,其實現這一目標的方法是獨特而微妙的。
該組織使用一系列惡意軟體工具來支援其工作。其中包括憑證收集軟體、自訂隧道實用程式以及旨在識別受感染網路中關鍵系統的偵察工具。此類技術使 Black Basta 能夠竊取資料並建立對受害者基礎設施的控制,從而增加了滿足其要求的壓力。
社會工程:他們策略的關鍵
Black Basta 活動的一個值得注意的方面是他們使用社會工程來獲取對目標環境的存取權限。他們的策略包括冒充 IT 人員或支援人員,通常透過 Microsoft Teams 等平台發起聯繫。受害者以解決技術問題為幌子,被說服安裝合法的遠端存取軟體,例如 AnyDesk 或 TeamViewer。此存取權限允許攻擊者部署其他惡意軟體,包括 Zbot(也稱為 ZLoader)和 DarkGate 等工具。
在某些情況下,人們發現他們透過註冊大量郵件清單來用電子郵件轟炸用戶。這種策略被稱為電子郵件轟炸,可以在攻擊者直接聯繫之前壓倒受害者並分散受害者的注意力。這些社會工程策略通常最終會試圖獲取憑證、繞過多重身份驗證 (MFA) 並建立對組織網路的更深層次的存取。
對組織的影響
Black Basta 勒索軟體攻擊的影響可能遠遠超出與贖金支付相關的直接經濟損失。該組織竊取憑證、存取 VPN 配置和繞過 MFA 的能力為組織的營運連續性和資料完整性帶來了重大風險。此外,他們的策略通常涉及洩漏敏感數據,這些數據可用於進一步勒索或在地下市場上出售。
Black Basta 使用的惡意軟體工具進一步放大了潛在的損害。其中包括高級實用程序,例如:
- KNOTWRAP :僅記憶體釋放器,可提供額外的有效負載而不留下檔案追蹤。
- KNOTROCK :用於執行勒索軟體負載的 .NET 實用程式。
- DAWNCRY :另一個僅記憶體釋放器,可將惡意資源直接解密至記憶體。
- PORTYARD :一種與指令和控制伺服器建立通訊的隧道工具。
- COGSCAN :用於繪製網路環境的偵察工具。
這些工具中的每一個都反映了一定程度的複雜性,強調了該集團在營運中適應和創新的能力。
為什麼演化很重要
Black Basta 從以殭屍網路為中心的模型演變為整合社會工程的模型,這表明勒索軟體組織的運作方式發生了轉變。這種混合方法使它們更加通用且難以防禦。透過將惡意軟體與人為主導的策略結合,Black Basta 可以利用更廣泛的漏洞,包括傳統網路安全措施可能忽視的漏洞。
這種適應性使 Black Basta 成為目前網路安全領域最持久的勒索軟體威脅之一。他們的活動說明了技術專業知識和心理操縱的結合如何為組織帶來巨大的挑戰。
降低風險的步驟
雖然沒有組織能夠完全免受勒索軟體攻擊,但採取主動的網路安全態勢可以降低成為 Black Basta 等組織受害者的風險。措施包括:
- 培訓員工:教育員工識別社會工程策略和網路釣魚嘗試至關重要。了解異常 IT 請求或未經請求的通訊可以作為第一道防線。
- 加強存取控制:實施強大的密碼策略、啟用 MFA 並定期檢查存取權限可能會限制憑證收集工具的有效性。
- 網路監控:持續監控異常活動,例如使用遠端存取軟體或意外資料傳輸,可以幫助及早發現潛在的違規行為。
- 定期備份:維護安全且最新的備份可確保組織在遭受攻擊時能夠快速復原。
重點
Black Basta 是勒索軟體組織如何不斷發展以在日益安全的數位環境中保持有效的一個令人信服的例子。透過將高級惡意軟體與有針對性的社會工程相結合,他們作為複雜且多才多藝的威脅參與者開闢了一個利基市場。對於組織而言,挑戰在於透過保持警惕、教育和強有力的網路安全實踐來保持領先。了解 Black Basta 等組織所採用的策略是防禦其攻擊的重要一步。
