Провайдеру безпеки Quadrant вдалося простежити за атакою Black Basta в прямому ефірі та оцінити технічну основу. Експерти не знають процесів у Black Basta, але також виявили лазівки, які тепер можна контролювати. Це важкий удар для всієї структури Black Basta, яку більше не можна використовувати таким чином.
Нещодавно компанія Quadrant допомогла клієнту зламати компанію групою програм-вимагачів Black Basta. Ця група є організацією «вимагачів як послуга» (RaaS), яка, як відомо, націлена на середні та великі підприємства.
Оцінено живу атаку Black Basta
Тепер компанія надає огляд перебігу компромісу а також технічний аналіз виявлених зловмисних програм і методів, починаючи від успішної фішингової кампанії до спроби вибуху програми-вимагача. Хоча деякі точні деталі дій зловмисника все ще невідомі, зібрані докази дозволили зробити висновки щодо багатьох експлойтів. Хоча дані клієнта було змінено, індикатори компрометації, включаючи шкідливі доменні імена, не були змінені.
Вся атака почалася з розпізнаного фішингового листа. Після початкових фішингових електронних листів зловмисник надіслав додаткові фішингові електронні листи клієнту, використовуючи подібні імена облікових записів з різних доменів. З «Qakbot» електронні листи містили складний троян, який починав спроби підключення. Механізм Suricata виявив ці спроби підключення, але механізм перевірки пакетів не попередив.
Прямі контакти з російським доменом C2
Quadrant відстежує вхідний і вихідний корпоративний трафік за допомогою локальних пристроїв механізму перевірки пакетів (PIE), на яких працює механізм виявлення Suricata. Нарешті зловмисне програмне забезпечення змогло знайти активний сервер C2. Між першим зараженням і першим успішним зв’язком між скомпрометованим хостом і доменом C2 пройшло близько 35 хвилин.
Корисне навантаження другого етапу, яке пізніше виявилося, ймовірно, інфраструктурою тестування на проникнення Brute Ratel, було завантажено через з’єднання з IP-адресою з Росії. Тоді доступ адміністратора було досягнуто за допомогою кількох кроків. Після цього зловмисник також додав у середовище нові облікові записи адміністратора. Нарешті, сервери ESXi були зашифровані, але атаку вдалося стримати й уникнути серйозних збитків.
Усю інформацію, отриману щодо «серверних операцій» Black Basta під час наступальної атаки, Quadrant підготував у статті експерта. Передісторію з усіма технічними даними атаки Black Basta висвітлили та зробили прозорою для інших експертів. Це означає, що інші служби безпеки також добре розуміють технічну платформу Black Basta і можуть легше розпізнавати атаки та вживати запобіжних заходів.
Ред./сел
Більше на Quadrantsec.com