Οι θυγατρικές του cybergang Black Basta χρησιμοποιούν τραπεζικό trojan QakBot για αρχική πρόσβαση και σχεδόν αμέσως αναπτύσσουν ransomware σε συστήματα πληροφορικής των θυμάτων.
Οργανισμοί από όλο τον κόσμο έπεσαν θύματα της εκτεταμένης εκστρατείας με γνώμονα το QakBot. Ωστόσο, ερευνητές της εταιρείας κυβερνοασφάλειας Cybereason ισχυρίζονται ότι οι εταιρείες που εδρεύουν στις ΗΠΑ στοχοποιούνται περισσότερο.
«Πρόκειται για επίθεση ευρείας κλίμακας εναντίον πολλών εταιρειών στις ΗΠΑ και μόλις τις τελευταίες δύο εβδομάδες μετριάσαμε τον κίνδυνο με περισσότερους από 10 πελάτες μας», δήλωσε στο Cybernews ο Loïc Castel, αναλυτής ασφαλείας της Cybereason.
Οι φορείς απειλών χρησιμοποιούν κακόβουλο λογισμικό QakBot, γνωστό και ως QBot ή Pinkslipbot, για να χαράξουν ένα σημείο εισόδου στα συστήματα πληροφορικής του θύματος και να μολύνουν περαιτέρω τον μολυσμένο οργανισμό που έχει μολυνθεί από το θύμα. Το OakBot είναι ένα τραπεζικό trojan που χρησιμοποιείται για την κλοπή οικονομικών δεδομένων και διαπιστευτηρίων.
Ωστόσο, η ομάδα Cybereason Global SOC (GSOC) ισχυρίζεται ότι το Black Basta εκμεταλλεύεται τις δυνατότητες εγκατάστασης backdoor του OakBot που επιτρέπουν στις θυγατρικές του καρτέλ να ρίχνουν ransomware σε στοχευμένες εταιρείες και να προχωρούν στον εκβιασμό τους.
“Η Cybereason αξιολογεί τον κίνδυνο ως ΥΨΗΛΟ δεδομένου του πόσο γρήγορα τα μέλη της συμμορίας Black Basta χρησιμοποιούν το QBot για αρχική πρόσβαση, στη συνέχεια εκμεταλλεύονται ευαίσθητα δεδομένα και αναπτύσσουν ransomware μόλις 12 ώρες αργότερα”, δήλωσε ο Castel.
Είναι ενδιαφέρον ότι οι χειριστές της καμπάνιας κλείδωσαν τα θύματα από τα δίκτυά τους απενεργοποιώντας τις υπηρεσίες DNS. Ο Castel εξήγησε ότι το DNS είναι κεντρικό στην υποδομή πληροφορικής και η παραβίασή του έχει σοβαρές συνέπειες για τους χρήστες και τους διαχειριστές.
“Η διακοπή του DNS θα μπορούσε να εμποδίσει τους διαχειριστές IT να διαχειρίζονται εξ αποστάσεως τα στοιχεία τους και να επιβραδύνει τον χρόνο απόκρισης, δηλαδή, καθιστώντας αδύνατη την πρόσβαση των ανταποκρινόμενων περιστατικών στον hypervisor και την αναστολή των επηρεαζόμενων μηχανημάτων”, είπε ο Castel.
Οι ερευνητές θεωρούν το επίπεδο απειλής της καμπάνιας υψηλό καθώς την εκτελεί ο Black Basta. Η ομάδα πιστεύεται ότι είναι μια φατρία της διαβόητης συμμορίας ransomware Conti και του FIN7 cybergang, που συνδέεται με τα περίφημα καρτέλ REvil και BlackMatter.