Рускоезичната сцена с рансъмуер не е толкова голяма. И въпреки множеството прякори на отделните операции, новият анализ показва, че членовете на тези групи работят в тясна координация, споделят тактики, ботнети и зловреден софтуер помежду си, както и с руската държава. Сега се появи и нова марка на група, която е силен играч – BlackBasta.
След зрелищното пресичане на операциите на Conti от правоприлагащите органи през 2022 г. рускоезичният пейзаж на рансъмуер е малко в движение. Допълнително преобръщане на обичайните бизнес операции предизвика последвалото през август 2023 г. разбиване на ботнетите Qakbot, на които тези групи дълго време разчитаха за доставянето на своя рансъмуер. Акцията на правоприлагащите органи, наречена „Операция Duck Hunt“, премахна зловредния софтуер Qakbot от повече от 700 000 заразени машини. Успехът при унищожаването на ботнета Qakbot е кратък. Анализаторите започнаха да го виждат отново в кибератаки само няколко месеца по-късно.
Дори и така, през януари BlackBasta вече се е завъртял и е бил наблюдаван да използва конкурентен ботнет инструмент, наречен Pikabot, заедно с появилата се нова група за заплахи, Water Curupira, която по подобен начин е използвала Pikabot, за да свали рансъмуера BlackBasta.
Оттам BlackBasta се диверсифицира във фишинг, вишинг и социално инженерство, както и в купуване на достъп до целевите мрежи от брокери за първоначален достъп. Но през август миналата година групата за откупи използва свой собствен, специално разработен зловреден софтуер – Cogscan, използван за картографиране на мрежите на жертвите и извличане на най-ценните данни, както и базирана на .NET програма, наречена Knotrock, използвана за изпълнение на откупи.
Действат ли правоприлагащите органи при борбата с рансъмуер?
В нов доклад анализаторът по киберсигурност на RedSense Йелисей Бохуславски представя подробен преглед на еволюцията на тактиката на BlackBasta, като заключава, че изискването на групата да се адаптира след мащабни правоприлагащи мерки я е превърнало в лидер в рускоезичното пространство на рансъмуер. Всъщност Бохуславски се опасява, че групата е в състояние да се превърне във важен партньор на руската държава. В доклада той използва примера на наказателните кръгове от кибератаки срещу сектора на здравеопазването през тази година и потенциален мрачен поглед към това, което предстои да се случи.
„Като се има предвид необичайността на 2024 г. на високопрофилни атаки срещу здравеопазването, съм загрижен за потенциалната връзка между BlackBasta и [руския национален държавен фактор за заплахи] Nobelium [Midnight Blizzard] и руския апарат за сигурност като цяло“, казва Бохуславски пред Dark Reading. „Въпреки че на този етап връзката е предимно експлоатация на MS Teams и някои други TTP и не може да бъде потвърдена, ако в бъдеще руските групи за рансъмуер развият пряко сътрудничество с руската държава, това ще доведе до осезаемо влошаване на пейзажа на заплахите.“
Той прогнозира, че BlackBasta и хакерите в нейната орбита ще стават все по-усъвършенствани в своите атаки през следващите месеци, а именно опити за компрометиране на идентификационни данни чрез социално инженерство.
„Бих посъветвал да се подготвите за защита от различни видове социален инженеринг срещу крайни точки с фокус върху пълномощията“, добавя Бохуславски. „Удостоверенията на Cisco, Fortinet и Citrix определено са основният фокус на BlackBasta в момента. Бих разгледал и хранилищата на GitHub и други отворени хранилища, които предприятието може да има, тъй като виждаме, че тези типове ловуват за тях.“
Това е добра новина за киберзащитниците. Социалното инженерство е много по-малко ефективен начин за разпространение на ransomware в сравнение с взривяването на ботнет, добавя Бохуславски.
„Според мен най-важното е, че действията на правоприлагащите органи дават резултат“, казва той. „Преходът показва бавно, но стабилно движение от ботнети към социално инженерство, дори за традиционалисти като BlackBasta. И при всички положения социалният инженеринг отстъпва на ботнетите по разпространение“.
