Devis de remise multi-licences
Sécurité informatique Le ransomware Black Basta exploite de nouvelles tactiques...

Le ransomware Black Basta exploite de nouvelles tactiques d'ingénierie sociale

Par Mezo en Sécurité informatique
Se traduisent par :
Français

Le groupe Black Basta Ransomware, connu pour ses stratégies évolutives, a adopté de nouvelles méthodes de livraison de charges utiles à partir d'octobre 2024. Parallèlement à leurs campagnes de ransomware traditionnelles, ils distribuent désormais des menaces telles que Zbot et DarkGate, illustrant un changement calculé dans leur approche des cibles compromises.

L'ingénierie sociale rencontre le bombardement d'e-mails

Black Basta utilise le bombardement d'e-mails comme première étape pour submerger ses cibles. Cette tactique consiste à inscrire l'adresse e-mail de la victime à de nombreuses listes de diffusion, ce qui noie les communications légitimes dans un flot de spam. Après le bombardement d'e-mails, les attaquants contactent directement les utilisateurs concernés, exploitant la confusion à leur avantage.

Usurpation d'identité sur des plateformes familières

Une tactique notable observée en août 2024 consiste pour les attaquants à se faire passer pour des membres du personnel informatique ou du personnel de support sur des plateformes comme Microsoft Teams. En se faisant passer pour des initiés de confiance, ils convainquent les cibles de s'engager dans une interaction plus poussée. Dans certains cas, les attaquants se font même passer pour des membres réels du personnel informatique de l'organisation ciblée, ce qui amplifie leur crédibilité.

Exploiter les outils d'accès à distance pour les compromis

Les victimes sont souvent amenées à installer des logiciels d'accès à distance légitimes tels qu'AnyDesk, TeamViewer ou Quick Assist de Microsoft. Une fois installés, ces outils permettent aux attaquants de prendre le contrôle du système. L'équipe de sécurité de Microsoft traque le groupe de cybercriminels exploitant Quick Assist sous l'identifiant Storm-1811.

Coquilles inversées et codes QR menaçants

En plus des outils d'accès à distance, les attaquants utilisent le client OpenSSH pour établir des shells inversés, leur permettant de contrôler les systèmes compromis. Une autre méthode consiste à envoyer des codes QR malveillants via des plateformes de chat sous couvert d'ajouter un appareil mobile de confiance. Ces codes QR redirigent probablement les victimes vers des infrastructures dangereuses ou volent leurs identifiants.

Livraison de la charge utile : vol d'identifiants et attaques ultérieures

Une fois l'accès établi, les attaquants déploient des charges utiles supplémentaires, telles que des collecteurs d'informations d'identification personnalisés, Zbot ou DarkGate. Ces outils leur permettent de collecter des informations d'identification, d'énumérer l'environnement de la victime et de préparer le terrain pour d'autres attaques. Le vol de fichiers de configuration VPN, combiné à des informations d'identification compromises, peut également permettre aux attaquants de contourner l'authentification multifacteur et d'accéder directement au réseau de la cible.

Les origines et l'arsenal de Black Basta

Black Basta est devenu un groupe indépendant en 2022 après la dissolution du gang de ransomware Conti. S'appuyant initialement sur le botnet QakBot, le groupe s'est depuis diversifié, intégrant des techniques sophistiquées d'ingénierie sociale dans ses opérations.

Leur arsenal de logiciels malveillants comprend :

  • KNOTWRAP : un dropper en mémoire uniquement écrit en C/C++, capable d'exécuter des charges utiles en mémoire.
  • KNOTROCK : un utilitaire .NET utilisé pour déployer le ransomware lui-même.
  • DAWNCRY : Un autre dropper en mémoire uniquement qui décrypte et exécute les ressources intégrées à l'aide d'une clé codée en dur.
  • PORTYARD : Un tunnelier qui se connecte aux serveurs de commande et de contrôle (C2) à l'aide d'un protocole binaire personnalisé.
  • COGSCAN : Un outil de reconnaissance basé sur .NET pour l'énumération des hôtes réseau.

Une approche hybride de la diffusion des menaces

L'évolution de Black Basta met en évidence sa transition d'une dépendance aux botnets à un modèle hybride qui combine sophistication technique et ingénierie sociale. Ce changement souligne leur adaptabilité et leur détermination à infiltrer les réseaux ciblés, ce qui constitue un défi permanent pour les défenses en matière de cybersécurité.

Rester vigilant face à Black Basta

Pour contrer ces menaces, les entreprises doivent donner la priorité à la sensibilisation à la cybersécurité, mettre en place des filtres de messagerie robustes et sensibiliser en permanence les employés aux dangers des communications non sollicitées et des tactiques d’usurpation d’identité. Des mesures efficaces sont essentielles pour atténuer les risques posés par ce groupe de menaces en constante évolution.

Chargement...