Le gang de rançongiciels Black Basta aurait été repéré en utilisant Logiciel malveillant QakBot pour créer un premier point d’entrée et se déplacer latéralement au sein des réseaux d’organisations.
Les résultats ont été décrits dans un nouvel avis publié par l’équipe Cybereason Global SOC (GSOC) plus tôt dans la journée, mettant en évidence plusieurs infections de Black Basta utilisant QakBot à partir du 14 novembre 2022.
« QakBot, également connu sous le nom de QBot ou Pinkslipbot, est un cheval de Troie bancaire principalement utilisé pour voler les données financières des victimes, y compris les informations du navigateur, les frappes au clavier et les informations d’identification », ont écrit les experts en sécurité.
« Une fois que QakBot a réussi à infecter un environnement, le malware installe une porte dérobée permettant à l’auteur de la menace de déposer d’autres malwares, à savoir des ransomwares. »
Selon l’avis, dans la nouvelle campagne, les pirates ont obtenu un accès administrateur de domaine en moins de deux heures, puis sont passés au déploiement de ransomwares en moins de 12 heures.
« Les acteurs de la menace utilisant le chargeur QBot ont jeté un large filet ciblant principalement les entreprises basées aux États-Unis et ont agi rapidement sur toutes les victimes de harponnage qu’ils ont compromises », lit-on dans l’avis.
« Au cours des deux dernières semaines, nous avons observé plus de dix clients différents touchés par cette récente campagne. »
Parmi les nombreuses infections QakBot identifiées par Cybereason, deux auraient permis à l’acteur de la menace de déployer un ransomware et de verrouiller la victime hors de son réseau en désactivant son service DNS, rendant la récupération encore plus complexe.
« Un compromis particulièrement rapide que nous avons observé a conduit au déploiement de Basta noir rançongiciel. Cela nous a permis d’établir un lien entre les acteurs de la menace tirant parti des opérateurs QakBot et Black Basta », a écrit l’équipe de sécurité.
Les infections QakBot observées par Cybereason ont commencé par un spam ou un e-mail de phishing contenant des liens URL malveillants, QakBot étant la principale méthode utilisée par Black Basta pour conserver une présence sur les réseaux des victimes.
« Cela dit, nous avons également observé l’acteur menaçant utiliser Cobalt Strike pendant la compromission pour obtenir un accès à distance au contrôleur de domaine. Enfin, un rançongiciel a été déployé et l’attaquant a ensuite désactivé les mécanismes de sécurité, tels que (détection et réponse des terminaux) EDR et les programmes antivirus », a écrit la société.
Une liste de recommandations pour aider les entreprises à se défendre contre cette menace et les indicateurs de compromission (IoC) associés sont disponibles dans l’avis texte original.
Le groupe de rançongiciels Black Basta a également été récemment lié à l’acteur de la menace FIN7 et à la poursuite des attaques contre les infrastructures critiques.
0 commentaire