El proveedor de seguridad Quadrant logró seguir en vivo un ataque de Black Basta y evaluar los antecedentes técnicos. Los expertos no conocen los procesos en Black Basta, pero también han descubierto las lagunas, que ahora pueden ser monitoreadas. Este es un duro golpe para toda la estructura de Black Basta, que ya no se puede usar de esta manera.
Quadrant recientemente ayudó a un cliente en un compromiso de toda la empresa por parte del grupo de ransomware Black Basta. Este grupo es una organización de "ransomware como servicio" (RaaS) conocida por apuntar a medianas y grandes empresas.
Evaluado ataque en vivo de Black Basta
La compañía ahora ofrece una descripción general del curso del compromiso. y un análisis técnico del malware observado y técnicas que van desde una exitosa campaña de phishing hasta un intento de explosión de ransomware. Aunque aún se desconocen algunos detalles precisos de las acciones del actor de amenazas, la evidencia recopilada ahora ha permitido sacar conclusiones sobre muchas de las hazañas. Si bien se modificaron los datos de los clientes, no se modificaron los indicadores de compromiso, incluidos los nombres de dominio maliciosos.
Todo el ataque comenzó con un correo electrónico de phishing reconocido. Después de los correos electrónicos de phishing iniciales, el actor de amenazas envió correos electrónicos de phishing adicionales al cliente utilizando nombres de cuenta similares de diferentes dominios. Con “Qakbot”, los correos electrónicos contenían un sofisticado troyano que iniciaba los intentos de conexión. El motor de Suricata detectó estos intentos de conexión, pero el motor de inspección de paquetes no generó ninguna alerta.
Contactos directos al dominio ruso C2
Quadrant supervisa el tráfico empresarial entrante y saliente mediante dispositivos de motor de inspección de paquetes (PIE) locales que ejecutan el motor de detección de Suricata. Finalmente, el malware pudo encontrar un servidor C2 activo. Pasaron unos 2 minutos entre la primera infección y la primera comunicación exitosa entre un host comprometido y el dominio C35.
La carga útil de la segunda etapa, que luego se descubrió que probablemente era el marco de prueba de penetración de Brute Ratel, se descargó a través de una conexión a una IP de Rusia. Luego, el acceso de administrador se logró a través de varios pasos. Después de eso, el actor de amenazas también agregó nuevas cuentas de administrador al entorno. Finalmente, se cifraron los servidores ESXi, pero se contuvo el ataque y se evitaron daños importantes.
Toda la información obtenida con respecto a las "operaciones de back-end" de Black Basta durante el ataque ofensivo ha sido preparada por Quadrant en una historia experta. El fondo con todos los datos técnicos sobre el ataque de Black Basta se iluminó y se hizo transparente para otros expertos. Esto significa que otros equipos de seguridad también tienen un buen conocimiento de la plataforma técnica de Black Basta y pueden reconocer ataques y tomar precauciones más fácilmente.
Rojo./sel.
Más en Quadrantsec.com