Microsoft Threat Intelligence-ի թիմն իր ուսումնասիրություններում կասկածելի user-ի գործողություններ է նկատել։ Այնուհետև նկատելի է դարձել Storm-1811 անուն կրող հաքերի գործելաոճը, որն իր սկսած արշավներում չարաշահել է Quick Assist-ը։
«Storm-1811-ը ֆինանսական մոտիվներով առաջնորդվող հանցավոր խումբ է, որը հայտնի է Black Basta ransomware–ի տեղակայմամբ», – նշվում է մոտ օրերս հրապարակված զեկույցում:
Հարձակման շղթան ներառում է voice phishing–ը, որի միջոցով հեշտությամբ հնարավոր է լինում մոլորեցնել թիրախային user-ներին և արդյունքում տեղակայել (RMM) գործիքներ, ինչին էլ հաջորդում է՝ QakBot, Cobalt Strike և Black Basta ransomware–ի տեղակայումը։
«Երբ օգտատերը access–ն ու control–ը թույլ է տալիս, հաքերներն անմիջապես գործի են անցնում և սկսում են scripted cURL հրամանի գործարկումը՝ ներբեռնելով տարբեր batch և ZIP ֆայլեր ու տեղակայելով payload–եր»։
«Storm-1811-ն օգտագործում է PsExec-ը՝ Black Basta ransomware–ը ցանցում տեղակայելու և տարածելու համար»:
Microsoft-ը Black Basta-ն նկարագրել է որպես “closed ransomware offering”։ Rasomware-as-a-service (RaaS)–ի համեմատ դրա գործելաոճն այլ է։ Ransomware-as-a-service (RaaS)-ը ներառում է ծրագրավորողների, affiliate–երի, սահմանափակ արտոնություններ ունեցող բրոքերների, որոնք էլ հենց իրականացնում են հարձակումներն ու ransomware–երի տեղակայումը։
«Black Basta-ն առաջին անգամ հայտնվեց 2022 թվականի ապրիլին։ Հաքերներն այն կիրառել են QakBot-ից և այլ malware ծրագրերի դիստրիբյուտորներից մուտք ստանալուց հետո»:
Կազմակերպություններին խորհուրդ է տրվում արգելափակել կամ հեռացնել Quick Assist -ի առկայությունը։ Ինչպես նաև աշխատակիցներին վերապատրաստել և իրազեկել ընթացիկ սպառնալինքերի և հնարավոր վտանգների մասին։
Աղբյուրը՝ https://thehackernews.com/
