Търсене
Close this search box.

Рускоезичната сцена с рансъмуер не е толкова голяма. И въпреки множеството прякори на отделните операции, новият анализ показва, че членовете на тези групи работят в тясна координация, споделят тактики, ботнети и зловреден софтуер помежду си, както и с руската държава. Сега се появи и нова марка на група, която е силен играч – BlackBasta.

След зрелищното пресичане на операциите на Conti от правоприлагащите органи през 2022 г. рускоезичният пейзаж на рансъмуер е малко в движение. Допълнително преобръщане на обичайните бизнес операции предизвика последвалото през август 2023 г. разбиване на ботнетите Qakbot, на които тези групи дълго време разчитаха за доставянето на своя рансъмуер. Акцията на правоприлагащите органи, наречена „Операция Duck Hunt“, премахна зловредния софтуер Qakbot от повече от 700 000 заразени машини. Успехът при унищожаването на ботнета Qakbot е кратък. Анализаторите започнаха да го виждат отново в кибератаки само няколко месеца по-късно.

Дори и така, през януари BlackBasta вече се е завъртял и е бил наблюдаван да използва конкурентен ботнет инструмент, наречен Pikabot, заедно с появилата се нова група за заплахи, Water Curupira, която по подобен начин е използвала Pikabot, за да свали рансъмуера BlackBasta.

Оттам BlackBasta се диверсифицира във фишинг, вишинг и социално инженерство, както и в купуване на достъп до целевите мрежи от брокери за първоначален достъп. Но през август миналата година групата за откупи използва свой собствен, специално разработен зловреден софтуер – Cogscan, използван за картографиране на мрежите на жертвите и извличане на най-ценните данни, както и базирана на .NET програма, наречена Knotrock, използвана за изпълнение на откупи.

Действат ли правоприлагащите органи при борбата с рансъмуер?

В нов доклад анализаторът по киберсигурност на RedSense Йелисей Бохуславски представя подробен преглед на еволюцията на тактиката на BlackBasta, като заключава, че изискването на групата да се адаптира след мащабни правоприлагащи мерки я е превърнало в лидер в рускоезичното пространство на рансъмуер. Всъщност Бохуславски се опасява, че групата е в състояние да се превърне във важен партньор на руската държава. В доклада той използва примера на наказателните кръгове от кибератаки срещу сектора на здравеопазването през тази година и потенциален мрачен поглед към това, което предстои да се случи.

„Като се има предвид необичайността на 2024 г. на високопрофилни атаки срещу здравеопазването, съм загрижен за потенциалната връзка между BlackBasta и [руския национален държавен фактор за заплахи] Nobelium [Midnight Blizzard] и руския апарат за сигурност като цяло“, казва Бохуславски пред Dark Reading. „Въпреки че на този етап връзката е предимно експлоатация на MS Teams и някои други TTP и не може да бъде потвърдена, ако в бъдеще руските групи за рансъмуер развият пряко сътрудничество с руската държава, това ще доведе до осезаемо влошаване на пейзажа на заплахите.“

Той прогнозира, че BlackBasta и хакерите в нейната орбита ще стават все по-усъвършенствани в своите атаки през следващите месеци, а именно опити за компрометиране на идентификационни данни чрез социално инженерство.

„Бих посъветвал да се подготвите за защита от различни видове социален инженеринг срещу крайни точки с фокус върху пълномощията“, добавя Бохуславски. „Удостоверенията на Cisco, Fortinet и Citrix определено са основният фокус на BlackBasta в момента. Бих разгледал и хранилищата на GitHub и други отворени хранилища, които предприятието може да има, тъй като виждаме, че тези типове ловуват за тях.“

Това е добра новина за киберзащитниците. Социалното инженерство е много по-малко ефективен начин за разпространение на ransomware в сравнение с взривяването на ботнет, добавя Бохуславски.

„Според мен най-важното е, че действията на правоприлагащите органи дават резултат“, казва той. „Преходът показва бавно, но стабилно движение от ботнети към социално инженерство, дори за традиционалисти като BlackBasta. И при всички положения социалният инженеринг отстъпва на ботнетите по разпространение“.

Източник: DARKReading

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
12 декември 2024

Телевизията на шотландския парламент е изложена...

Дълбоките фалшификати се превръщат в заплаха за записите и видеопот...
Бъдете социални
Още по темата
12/12/2024

Изследователи разбиват Micr...

Изследователи разбиха метод за многофакторно удостоверяване...
11/12/2024

BadRAM пробива защитите на ...

Академични изследователи са разработили нова атака,...
11/12/2024

Кибератака поставя Krispy K...

Веригата за продажба на понички и...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!