Киберпреступники, тесно связанные с некогда активной группировкой программ-вымогателей Black Basta, значительно усовершенствовали её фирменные методы социальной инженерии. Новая кампания использует автоматизированные атаки для сверхбыстрого получения удалённого доступа к компьютерам высшего руководства компаний, что создаёт прямую угрозу критически важным бизнес-процессам. Основная цель злоумышленников - руководители в производственном секторе и сфере профессиональных, научных и технических услуг, что соответствует историческим предпочтениям оригинальной группировки.
Описание
Black Basta была известной RaaS-платформой, действовавшей с 2022 года и практически прекратившей активность после утечки внутренней переписки в феврале 2025-го. Однако её методы работы оказались настолько эффективными, что пережили саму группировку. Новое наступление, по оценкам экспертов, с высокой долей вероятности координируется бывшими партнёрами (аффилиатами) Black Basta, а не независимыми подражателями. Это подтверждается спецификой выбора целей, инфраструктурой и используемым набором инструментов. Более половины всей фишинговой активности через Microsoft Teams, зафиксированной после упадка группировки, пришлось на первые четыре месяца 2026 года, причём пик - 32% от общего объёма - наблюдался в марте.
Эволюция тактики заключается в целенаправленном выборе в качестве жертв лиц, принимающих ключевые решения. Если в январе-феврале 2026 года на руководящий состав приходилось 59% атак, то в марте этот показатель резко вырос до 77%. Такой фокус позволяет злоумышленникам с самого начала получить доступ к учётным записям с высоким уровнем привилегий, минуя шумные и длительные этапы горизонтального перемещения по сети и повышения прав внутри скомпрометированной системы. Стратегический расчёт очевиден: компрометация директора или топ-менеджера открывает прямой путь к хищению конфиденциальных данных или немедленному развёртыванию программ-вымогателей, максимально увеличивая давление на организацию для скорейшей выплаты выкупа.
Особую озабоченность вызывает концентрация атак на двух ключевых секторах: производство и профессиональные, научные и технические услуги (PSTS). На каждый из них приходится по 26% всех инцидентов, стилизованных под Black Basta, в 2026 году. Оба сектора характеризуются высокой операционной нагрузкой, где простои производства из-за ransomware несут катастрофические финансовые последствия. Это делает компании в этих отраслях идеальными мишенями для шантажа. В период активности Black Basta чаще всего называла именно производственные организации на своей площадке для слива данных, что служит дополнительным аргументом в пользу причастности бывших партнёров к текущей волне атак.
Скорость - новый ключевой элемент этой кампании. Злоумышленники используют автоматизацию, чтобы сжать многоступенчатую атаку в считанные минуты, практически не оставляя защитникам времени на реакцию. Сценарий начинается с так называемой "email-бомбардировки": на почтовый ящик цели в течение нескольких минут обрушиваются сотни писем, создавая панику и неразбериху. Пока пользователь пытается разобраться в потоке спама, к нему в Microsoft Teams или по телефону обращается злоумышленник, выдающий себя за сотрудника внутренней службы технической поддержки (help desk).
Согласно отчёту исследователей, именно в этот момент критически важна процедура проверки. Атакующий, ссылаясь на проблемы с почтой, убеждает жертву запустить инструмент для удалённого управления, например, Supremo Remote Desktop или встроенный в Windows 11 Quick Assist. Эти легитимные средства удалённого администрирования (RMM) идеально маскируют вредоносную активность под обычную работу IT-специалиста. Получив контроль над компьютером, злоумышленник выполняет вредоносные скрипты, замаскированные под утилиты для настройки почты. Вся цепочка - от первой фишинговой письма до выполнения кода на устройстве жертвы - в некоторых случаях укладывалась всего в 12 минут.
Успех этой схемы красноречиво свидетельствует о том, что процедурные, а не технические уязвимости остаются ахиллесовой пятой многих компаний. Атака, эксплуатирующая базовое доверие сотрудников к службе технической поддержки, не может быть остановлена только средствами защиты периметра или антивирусными решениями. Необходимы строгие организационные контрмеры. В первую очередь, это обязательная многофакторная аутентификация любого запроса на удалённый доступ, осуществляемая по альтернативному, заранее согласованному каналу связи - например, обратный звонок на зарегистрированный корпоративный номер телефона. Во-вторых, жёсткий контроль над использованием RMM-инструментов с помощью политик белых списков приложений, особенно для пользователей с высокими привилегиями. В-третьих, целевые учения для руководящего состава, моделирующие именно этот сценарий с почтовой бомбардировкой и последующим обращением "службы поддержки".
Ожидается, что в ближайшие год-полтора подобные схемы социальной инженерии с имитацией IT-поддержки станут доминирующим вектором начального проникновения в корпоративные сети. По мере того как защитники учатся обнаруживать стандартные шаблоны, атакующие будут варьировать предлоги и менять инструментарий, возможно, переходя на предустановленные в корпоративных средах средства удалённого доступа. Однако суть угрозы останется прежней: человеческий фактор и слабость внутренних процедур проверки. Борьба с этим требует не только технологических решений, но и пересмотра корпоративной культуры безопасности, где чёткие регламенты не будут приноситься в жертву оперативной удобству.
Индикаторы компрометации
IPv4
- 84.42.92.111
- 84.42.92.176
- 84.42.92.225
- 84.42.94.127
Emails
- h.tachouche@groupbiocare.com
- helpdesk@dpf.edu.lk
- helpdesk@griffinintl.net
- it_assistance@teams000472.onmicrosoft.com
- itdesk@itdesk.top
- networksupport@techguard359.onmicrosoft.com
