位于美国的公司一直处于“激进的”Qakbot 恶意软件活动的接收端,该活动导致受感染 络上的 Black Basta 勒索软件感染。
Cybereason 研究人员 Joakim Kandefelt 和 Danielle Frankel在与黑客新闻分享的一份 告中说:“在最近的这次活动中,Black Basta 勒索软件团伙正在使用 QakBot 恶意软件创建初始入口点并在组织 络内横向移动。”
2022 年 4 月出现的 Black Basta 遵循久经考验的双重勒索方法,窃取目标公司的敏感数据,并以此为杠杆,通过威胁发布被盗信息来勒索加密货币支付。
这不是第一次观察到勒索软件团队使用 Qakbot(又名 QBot、QuackBot 或 Pinkslipbot)。上个月,趋势科技披露了类似的攻击,这些攻击需要使用 Qakbot 来交付Brute Ratel C4框架,而该框架又被用来释放 Cobalt Strike。
Cybereason 观察到的入侵活动从等式中删除了 Brute Ratel C4,而是使用 Qakbot 直接在受感染环境中的多台机器上分发 Cobalt Strike。
攻击链从一封带有恶意磁盘映像文件的鱼叉式 络钓鱼电子邮件开始,该文件在打开时启动 Qbot 的执行,而 Qbot 则连接到远程服务器以检索 Cobalt Strike 有效负载。
在此阶段,执行凭证收集和横向移动活动以将红队框架放置在多个服务器上,然后使用收集到的密码破坏尽可能多的端点并启动 Black Basta 勒索软件。
研究人员指出:“攻击者在不到两小时内获得了域管理员权限,并在不到 12 小时内进行勒索软件部署。”过去两周有 10 多个不同的客户受到了新一轮攻击的影响。
在以色列 络安全公司发现的两个实例中,入侵不仅部署了勒索软件,还通过禁用 DNS 服务将受害者锁定在他们的 络之外,以使系统恢复难度倍增。
Black Basta是一个非常活跃的勒索软件攻击者。根据Malwarebytes收集的数据,该勒索团伙在 2022 年 10 月就成功地将 25 家公司作为目标,其危害排在LockBit、Karakurt和BlackCat 之后。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!