Black Basta Gang implementa el malware Qakbot en una agresiva campaña cibernética



El grupo de ransomware Black Basta está utilizando el malware Qakbot, también conocido como QBot o Pinkslipbot, para perpetrar una campaña agresiva y generalizada utilizando un archivo .IMG como vector de compromiso inicial.

La campaña se ha dirigido a más de 10 clientes diferentes en las últimas dos semanas, en su mayoría centrados en empresas con sede en los EE. UU.

De acuerdo a un aviso de amenaza publicado por Cybereason International SOC (GSOC) el 23 de noviembre, las infecciones comienzan con un correo electrónico no deseado o de phishing, que contiene enlaces URL maliciosos, con Black Basta implementando Qakbot como el método principal para mantener una presencia en las redes de las víctimas.

«En esta última campaña, la pandilla de ransomware Black Basta está utilizando el malware Qakbot para crear un punto de entrada inicial y moverse lateralmente dentro de la red de una organización», señaló el informe.

Si bien Qakbot comenzó como un troyano bancario, diferentes grupos han aumentado sus capacidades con módulos adicionales, usándolo como ladrón de información, puerta trasera y descargador. Qakbot también cambió recientemente su método de entrega de su carga útil maliciosa, de JavaScript a VBS.

«También observamos al actor de amenazas usando Cobalt Strike durante el compromiso para obtener acceso remoto al controlador de dominio», señaló el equipo de investigación. «Finalmente, se implementó el ransomware y el atacante deshabilitó los mecanismos de seguridad, como EDR y los programas antivirus».

El informe destaca la rapidez con la que se están produciendo los ataques, con ransomware implementado en menos de medio día después de obtener privilegios de administrador de dominio en menos de dos horas.

En más de un ataque, el equipo de GSOC observó que el actor de amenazas deshabilitaba los servicios de DNS, bloqueaba a la víctima fuera de la pink y dificultaba la recuperación.

«Dadas todas estas observaciones, recomendamos que los equipos de seguridad y detección estén atentos a esta campaña, ya que puede provocar rápidamente daños graves en la infraestructura de TI», señaló el informe.

El informe alienta a las organizaciones a identificar y bloquear conexiones de red maliciosas, restablecer el acceso a Lively Listing, activar la respuesta a incidentes y limpiar las máquinas comprometidas, lo que incluye aislar y volver a generar imágenes de todas las máquinas infectadas.

Qakbot aumenta las operaciones y agrega capacidades

El grupo Qakbot ha aumentado recientemente sus operaciones, infectando sistemas, instalando marcos de ataque y vendiendo acceso a otros grupos, incluido Black Basta.

En septiembre, reanudó la expansión de su red de acceso como servicio, comprometiendo con éxito a cientos de empresas con cargas comunes de segunda etapa, incluido el malware Emotet y dos plataformas de ataque populares.

En junio, se observó a los operadores de Qakbot usando la carga lateral de DLL para entregar malware, una técnica que coloca los archivos legítimos y maliciosos juntos en un directorio común para evitar la detección.

Basta negro respaldado por FIN7

Black Basta, una de las familias de ransomware más prolíficas de este año, ofrece su oferta de ransomware como servicio (RaaS) en varios foros clandestinos, lo que significa que múltiples operadores tienen acceso a Black Basta en su conjunto de herramientas, lo que dificulta la atribución.

El grupo ha estado activo al menos desde febrero, aunque solo se descubrió dos meses después, apuntando a máquinas virtuales VMware ESXi que se ejecutan en servidores Company Linux, cifrando archivos dentro de una carpeta de volúmenes objetivo. El grupo se ha centrado en los países de habla inglesa a escala mundial.

Recientemente ha surgido evidencia de que FIN7, una organización de delitos cibernéticos motivada financieramente que se estima que ha robado más de $ 1.2 mil millones desde que apareció en 2012, está detrás de Black Basta, según investigadores de SentinelOne.



Enlace a la noticia first