Le fournisseur de sécurité Quadrant a réussi à suivre en direct une attaque de Black Basta et à évaluer le contexte technique. Les experts ne connaissent pas les processus chez Black Basta, mais ont également découvert les failles, qui peuvent désormais être surveillées. C'est un coup dur pour toute la structure de Black Basta, qui ne peut plus être utilisée de cette manière.
Quadrant a récemment aidé un client dans un compromis à l'échelle de l'entreprise par le groupe de rançongiciels Black Basta. Ce groupe est une organisation « ransomware as a service » (RaaS) connue pour cibler les moyennes et grandes entreprises.
Attaque en direct de Black Basta évaluée
L'entreprise donne désormais un aperçu du déroulement du compromis et une analyse technique des logiciels malveillants observés et des techniques allant d'une campagne de phishing réussie à une tentative d'explosion de ransomware. Bien que certains détails précis sur les actions de l'acteur menaçant soient encore inconnus, les preuves recueillies ont maintenant permis de tirer des conclusions sur de nombreux exploits. Bien que les données clients aient été modifiées, les indicateurs de compromission, y compris les noms de domaine malveillants, n'ont pas été modifiés.
Toute l'attaque a commencé par un e-mail de phishing reconnu. Après les e-mails de phishing initiaux, l'auteur de la menace a envoyé des e-mails de phishing supplémentaires au client en utilisant des noms de compte similaires provenant de différents domaines. Avec « Qakbot », les e-mails contenaient un cheval de Troie sophistiqué qui déclenchait des tentatives de connexion. Le moteur Suricata a détecté ces tentatives de connexion, mais aucune alerte n'a été déclenchée par le moteur d'inspection des paquets.
Contacts directs avec le domaine C2 russe
Quadrant surveille le trafic d'entreprise entrant et sortant à l'aide d'appliances de moteur d'inspection de paquets (PIE) sur site exécutant le moteur de détection Suricata. Enfin, le malware a pu trouver un serveur C2 actif. Environ 2 minutes se sont écoulées entre la première infection et la première communication réussie entre un hôte compromis et le domaine C35.
La charge utile de la deuxième étape, qui s'est avérée plus tard être probablement le cadre de test de pénétration de Brute Ratel, a ensuite été téléchargée via une connexion à une adresse IP de Russie. L'accès administrateur s'est ensuite fait en plusieurs étapes. Après cela, l'acteur de la menace a également ajouté de nouveaux comptes d'administrateur à l'environnement. Enfin, les serveurs ESXi ont été cryptés, mais l'attaque a été contenue et des dommages importants ont été évités.
Toutes les informations obtenues concernant les "opérations de backend" de Black Basta lors de l'attaque offensive ont été préparées par Quadrant dans une histoire d'expert. L'arrière-plan avec toutes les données techniques sur l'attaque de Black Basta a été éclairé et rendu transparent pour les autres experts. Cela signifie que les autres équipes de sécurité ont également un bon aperçu de la plate-forme technique de Black Basta et peuvent plus facilement reconnaître les attaques et prendre des précautions.
Rouge./sel
Plus sur Quadrantsec.com