Black Basta, один из ведущих операторов программ-вымогателей, проводит новую кампанию социальной инженерии, применяя комбинацию DDoS-атак через электронную почту и vishing для принуждения сотрудников к загрузке инструментов удаленного доступа.
Согласно рекомендациям по кибербезопасности, опубликованным CISA, ФБР, Министерством здравоохранения и социальных служб (HHS) и Межгосударственным центром обмена информацией и анализа (MS-ISAC), Black Basta использует разнообразные методы, включая:
- Использование Qakbot и подводной охоты для начального доступа;
- Сетевой сканер SoftPerfect для анализа сети;
- Различные инструменты, такие как BITSAdmin, PsExec, RDP, Splashtop, Screen Connect и маяки Cobalt Strike для бокового перемещения;
- Эксплойты уязвимостей, таких как ZeroLogon, NoPac и PrintNighmare, для повышения привилегий;
- Использование RClone и WinSCP для фильтрации данных;
- PowerShell для отключения антивирусных продуктов и других инструментов безопасности;
- Программа vssadmin для удаления теневых копий томов перед шифрованием файлов.
Rapid7 также обнаружил, что Black Basta применяет социальную инженерию, засылая нежелательную почту и затем звоняя адресатам, представляясь членами ИТ-команды организации и убеждая их установить инструменты удаленного мониторинга и управления.
Аналитики отмечают, что субъекты угрозы используют скрипты для создания постоянства и сбора учетных данных жертвы с помощью PowerShell.
Несмотря на отсутствие успешных утечек данных или развертывания программ-вымогателей, организации рекомендуется блокировать выполнение неутвержденных RMM-решений и иметь каналы связи для сообщения о подозрительных действиях.
Кроме того, важно обучать сотрудников основам кибербезопасности, чтобы они могли распознавать подобные атаки и принимать меры предосторожности. Обучение должно включать в себя обзор различных видов киберугроз, методов защиты от них, а также инструкции по безопасному поведению в сети, включая правила обращения с электронной почтой и подозрительными вложениями, основы безопасности при работе с внешними устройствами и сетями Wi-Fi, а также рекомендации по созданию и хранению надежных паролей.
Эффективное обучение сотрудников кибербезопасности может значительно снизить риск успешных атак и помочь в сохранении целостности и конфиденциальности данных компании.
Скачайте наши бесплатные материалы по для обучения сотрудников здесь.