Black Basta
Компания Rapid7 обнаружила кампанию социальной инженерии. Злоумышленники отправляли пользователям электронную почту с нежелательной информацией и звонили им, предлагая помощь. После установления удаленного соединения злоумышленники загружали полезную нагрузку для получения учетных данных пользователей.
Совместный документ Cybersecurity Advisory (CSA), выпущенный ФБР, CISA, HHS и MS-ISAC, содержит подробную информацию о разновидности вымогательского ПО Black Basta, которая представляет собой вымогательское ПО как услуга (RaaS), направленное на критически важные отрасли инфраструктуры, включая здравоохранение.
Группа вторжения Water Curupira, известная по использованию вымогательского ПО Black Basta, применяла Pikabot, вредоносную программу-загрузчик, похожую на Qakbot, в спам-кампаниях на протяжении 2023 года.
Недавно группа реагирования на инциденты Unit 42 занималась ликвидацией последствий взлома Black Basta, в ходе которой на машинах жертв было обнаружено несколько инструментов и образцов вредоносного ПО, включая вредоносное ПО GootLoader, инструмент для перехвата данных Brute Ratel C4 и более старый образец вредоносного ПО PlugX.
Команда Cybereason Global SOC (GSOC) расследует случаи заражения Qakbot, наблюдаемые в клиентских средах, связанные с потенциально широко распространенной кампанией по борьбе с вымогательством, проводимой Black Basta. Кампания направлена в основном на компании, расположенные в США.
По оценке SentinelLabs, весьма вероятно, что операция Black Basta по распространению вымогательского ПО связана с FIN7.
Распространение вредоносного ПО QAKBOT возобновилось 8 сентября 2022 года после короткого перерыва, когда наши исследователи заметили несколько механизмов распространения в этот день. Среди наблюдаемых методов распространения были SmokeLoader (использующий идентификатор распространителя 'snow0x'), Emotet
Относительный новичок в 2022 году, группа Black Basta ransomware не теряет времени даром и делает себе имя, обновляя свой инструментарий и увеличивая число жертв по всему миру всего через несколько месяцев после того, как ее ransomware была впервые обнаружена.
Black Basta ransomware - это недавняя угроза, которая собрала первые образцы вредоносного ПО в феврале 2022. Программа удаляет все теневые копии тома, создает новое изображение JPG в качестве обоев рабочего стола и файл ICO, представляющий зашифрованные файлы.
IOC
Black Basta Ransomware - это новый штамм ransomware, обнаруженный в апреле 2022 года. Несмотря на то, что группа действует всего два месяца, она уже стала известной, приписав себе около 50 жертв на момент публикации этого отчета.