Black Basta 勒索软件团伙使用 Qakbot 恶意软件积极渗透美国公司

2022-11-27|

位于美国的公司一直处于“激进的”Qakbot 恶意软件活动的接收端,该活动导致受感染网络上的 Black Basta 勒索软件感染。

Cybereason 研究人员 Joakim Kandefelt 和 Danielle Frankel在与黑客新闻分享的一份报告中说:“在最近的这次活动中,Black Basta 勒索软件团伙正在使用 QakBot 恶意软件创建初始入口点并在组织网络内横向移动。”

2022 年 4 月出现的 Black Basta 遵循久经考验的双重勒索方法,窃取目标公司的敏感数据,并以此为杠杆,通过威胁发布被盗信息来勒索加密货币支付。

这不是第一次观察到勒索软件团队使用 Qakbot(又名 QBot、QuackBot 或 Pinkslipbot)。上个月,趋势科技披露了类似的攻击,这些攻击需要使用 Qakbot 来交付Brute Ratel C4框架,而该框架又被用来释放 Cobalt Strike。

Cybereason 观察到的入侵活动从等式中删除了 Brute Ratel C4,而是使用 Qakbot 直接在受感染环境中的多台机器上分发 Cobalt Strike。

攻击链从一封带有恶意磁盘映像文件的鱼叉式网络钓鱼电子邮件开始,该文件在打开时启动 Qbot 的执行,而 Qbot 则连接到远程服务器以检索 Cobalt Strike 有效负载。

在此阶段,执行凭证收集和横向移动活动以将红队框架放置在多个服务器上,然后使用收集到的密码破坏尽可能多的端点并启动 Black Basta 勒索软件。

研究人员指出:“攻击者在不到两小时内获得了域管理员权限,并在不到 12 小时内进行勒索软件部署。”过去两周有 10 多个不同的客户受到了新一轮攻击的影响。

在以色列网络安全公司发现的两个实例中,入侵不仅部署了勒索软件,还通过禁用 DNS 服务将受害者锁定在他们的网络之外,以使系统恢复难度倍增。

Black Basta是一个非常活跃的勒索软件攻击者。根据Malwarebytes收集的数据,该勒索团伙在 2022 年 10 月就成功地将 25 家公司作为目标,其危害排在LockBit、Karakurt和BlackCat 之后。


标签: 勒索 软件 使用 活动 Qakbot Black Basta 攻击 攻击者 框架

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护