O provedor de segurança Quadrant conseguiu acompanhar um ataque do Black Basta ao vivo e avaliar o histórico técnico. Os especialistas não conhecem os processos da Black Basta, mas também descobriram as brechas, que agora podem ser monitoradas. Este é um duro golpe para toda a estrutura do Black Basta, que não pode mais ser utilizada desta forma.
A Quadrant recentemente ajudou um cliente em um comprometimento de toda a empresa pelo grupo de ransomware Black Basta. Este grupo é uma organização de "ransomware como serviço" (RaaS) conhecida por atingir empresas de médio a grande porte.
Ataque ao vivo Black Basta avaliado
A empresa agora fornece uma visão geral do curso do compromisso e uma análise técnica de malware e técnicas observadas, variando de uma campanha de phishing bem-sucedida a uma tentativa de explosão de ransomware. Embora alguns detalhes precisos das ações do agente da ameaça ainda sejam desconhecidos, as evidências coletadas agora permitem tirar conclusões sobre muitas das explorações. Embora os dados do cliente tenham sido modificados, os indicadores de comprometimento, incluindo nomes de domínio maliciosos, não foram modificados.
Todo o ataque começou com um e-mail de phishing reconhecido. Após os e-mails de phishing iniciais, o agente da ameaça enviou e-mails de phishing adicionais ao cliente usando nomes de contas semelhantes de domínios diferentes. Com o “Qakbot”, os e-mails continham um Trojan sofisticado que iniciava as tentativas de conexão. O mecanismo Suricata detectou essas tentativas de conexão, mas nenhum alerta foi gerado pelo mecanismo de inspeção de pacotes.
Contatos diretos para o domínio russo C2
A Quadrant monitora o tráfego corporativo de entrada e saída usando dispositivos de mecanismo de inspeção de pacotes (PIE) no local que executam o mecanismo de detecção Suricata. Por fim, o malware conseguiu encontrar um servidor C2 ativo. Cerca de 2 minutos se passaram entre a primeira infecção e a primeira comunicação bem-sucedida entre um host comprometido e o domínio C35.
A carga útil do segundo estágio, mais tarde considerada como sendo provavelmente a estrutura de teste de penetração Brute Ratel, foi então baixada por meio de uma conexão com um IP da Rússia. O acesso do administrador foi obtido por meio de várias etapas. Depois disso, o agente da ameaça também adicionou novas contas de administrador ao ambiente. Por fim, os servidores ESXi foram criptografados, mas o ataque foi contido e grandes danos evitados.
Todas as percepções obtidas sobre as "operações de back-end" do Black Basta durante o ataque ofensivo foram preparadas pela Quadrant em uma história especializada. O fundo com todos os dados técnicos do ataque Black Basta foi iluminado e tornado transparente para outros especialistas. Isso significa que outras equipes de segurança também têm uma boa visão da plataforma técnica do Black Basta e podem reconhecer ataques e tomar precauções com mais facilidade.
Vermelho./sel
Mais em Quadrantsec.com