Black Basta: Πρώην μέλη επανέρχονται με Microsoft Teams phishing & Python Scripts
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Black Basta: Πρώην μέλη επανέρχονται με Microsoft Teams phishing & Python Scripts
https://www.secnews.gr/650780/black-basta-proin-meli-epanerxontai-microsoft-teams-phishing-python-scripts/
Jun 12th 2025, 12:54
by Digital Fortress
Παρά την αποδυνάμωση της ομάδας ransomware Black Basta, μετά από τη διαρροή εσωτερικών συνομιλιών της, πρώην μέλη της φαίνεται να επανέρχονται δυναμικά, χρησιμοποιώντας γνώριμες τακτικές παραβίασης όπως email bombing και phishing επιθέσεις μέσω Microsoft Teams.
Σύμφωνα με νέα έκθεση της ReliaQuest, οι εισβολείς ενισχύουν πλέον τις επιθέσεις τους με Python scripts, τα οποία χρησιμοποιούν cURL requests για την ανάκτηση και εκτέλεση κακόβουλων payloads, αυξάνοντας τη δυναμική και την ευελιξία των επιθέσεων.
Η έκθεση αναφέρει ότι μεταξύ Φεβρουαρίου και Μαΐου 2025, σχεδόν το 50% των phishing προσπαθειών μέσω Teams (από τους συγκεκριμένους hackers) προήλθε από domains τύπου onmicrosoft[.]com και τα παραβιασμένα domains αντιπροσώπευαν το 42% των επιθέσεων κατά την ίδια περίοδο (τακτική που καθιστά πιο δύσκολο τον εντοπισμό, καθώς μιμείται κανονικό, νόμιμο traffic).
Δείτε επίσης: Sensata Technologies: Ransomware επίθεση οδήγησε σε παραβίαση δεδομένων
Αξιοσημείωτο είναι πως μόνο τον προηγούμενο μήνα, πελάτες της ReliaQuest σε κρίσιμους κλάδους όπως χρηματοοικονομικά, ασφάλειες και βιομηχανική παραγωγή, στοχοποιήθηκαν μέσω παραπλανητικών Microsoft Teams μηνυμάτων που προσποιούνταν τεχνική υποστήριξη. Στόχος των hackers ήταν η εξαπάτηση υπαλλήλων και η απόκτηση διαπιστευτηρίων.
Η επιστροφή των τακτικών της Black Basta επιβεβαιώνει ότι οι ομάδες κυβερνοεγκλήματος δεν εξαφανίζονται εύκολα – απλώς αλλάζουν πρόσωπο, εργαλεία και πλαίσιο δράσης. Σύμφωνα με τη ReliaQuest, τα πρώην μέλη της διαβόητης ransomware ομάδας Black Basta είτε έχουν προσχωρήσει σε νέες συνεργασίες είτε έχουν σχηματίσει νέα ομάδα στο πλαίσιο Ransomware-as-a-Service (RaaS).
Ένα πιθανό νέο καταφύγιο φαίνεται να είναι η ομάδα CACTUS RaaS, καθώς στις διαρροές των συνομιλιών της Black Basta, ο επικεφαλής της – γνωστός με το ψευδώνυμο "Trump" – αναφέρεται σε πληρωμή ύψους 500.000 με 600.000 δολαρίων προς την CACTUS.
Ωστόσο, από τον Μάρτιο του 2025, η CACTUS δεν έχει δημοσιεύσει νέα θύματα στον δικό της ιστότοπο διαρροών, γεγονός που δημιουργεί υποψίες περί σκόπιμης "σιωπής", διάλυσης ή στροφής προς πιο αφανή δραστηριότητα. Παράλληλα, οι ερευνητές δεν αποκλείουν τη μεταφορά πρώην συνεργατών στην BlackLock, μια αναδυόμενη απειλή που φέρεται να έχει συνδεθεί με το ransomware DragonForce.
Δείτε επίσης: Η ransomware ομάδα Interlock πίσω από την επίθεση στο Kettering Health;
Στο επιχειρησιακό πεδίο, οι κυβερνοεγκληματίες συνεχίζουν να αξιοποιούν επιθέσεις phishing μέσω Microsoft Teams, όπως είπαμε και παραπάνω, προκειμένου να αποκτήσουν πρόσβαση σε συστήματα και να ξεκινήσουν remote desktop sessions μέσω εργαλείων όπως Quick Assist και AnyDesk. Αφού εγκατασταθούν, κατεβάζουν και εκτελούν Python scripts από απομακρυσμένους servers, εδραιώνοντας υποδομές command & control (C2) μέσα στα δίκτυα-στόχους.
Η χρήση Python scripts σε αυτές τις επιθέσεις υποδεικνύει μια νέα τεχνική που κερδίζει έδαφος, και όπως τονίζει η ReliaQuest, είναι πολύ πιθανό να τη δούμε να κυριαρχεί στις επόμενες phishing καμπάνιες μέσω Teams.
Οι τακτικές της Black Basta χρησιμοποιούνται και από την ομάδα BlackSuit
Η τακτική social engineering που κατέστη σήμα κατατεθέν της Black Basta – ένας συνδυασμός spam email, phishing μέσω Microsoft Teams και κατάχρησης του εργαλείου Quick Assist – φαίνεται πλέον να χρησιμοποιείται και από την ομάδα BlackSuit, ενισχύοντας το ενδεχόμενο συγχώνευσης ή "μεταγραφών" από τη μία ομάδα στην άλλη.
Σύμφωνα με ανάλυση της Rapid7, η αρχική πρόσβαση που αποκτούν οι κυβερνοεγκληματίες χρησιμοποιείται για την εγκατάσταση νέων παραλλαγών ενός Remote Access Trojan (RAT) βασισμένου σε Java, το οποίο στο παρελθόν είχε χρησιμοποιηθεί ως εργαλείο κλοπής διαπιστευτηρίων στο οπλοστάσιο της Black Basta.
Ωστόσο, στις νέες επιθέσεις χρησιμοποιείται μια ενημερωμένη έκδοση που προσφέρει πολλαπλές δυνατότητες, όπως:
• Μεταφορά αρχείων μεταξύ του μολυσμένου μηχανήματος και του διακομιστή ελέγχου
• Εκκίνηση SOCKS5 proxy tunnel
• Κλοπή διαπιστευτηρίων από web browsers
• Εμφάνιση παραπλανητικού παραθύρου σύνδεσης των Windows για κλοπή credentials
• Δυνατότητα λήψης και εκτέλεσης Java class στη μνήμη, απευθείας από URL
• Δείτε επίσης: FBI: Το Play ransomware έχει παραβιάσει 900 οργανισμούς
Καθώς οι παραπάνω τακτικές γίνονται πιο διαδεδομένες στον χώρο του ransomware, οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο αποκλεισμού εξωτερικών domains από τα μηνύματα και τις κλήσεις στο Microsoft Teams. Επίσης, συνιστάται η απενεργοποίηση του Quick Assist σε κρίσιμα περιβάλλοντα.
Δεδομένου ότι οι εταιρείες βασίζονται όλο και περισσότερο στην τεχνολογία για τις δραστηριότητές τους, είναι ζωτικής σημασίας να δοθεί προτεραιότητα στην ασφάλεια στον κυβερνοχώρο. Η εκπαίδευση των εργαζομένων, οι τακτικές αξιολογήσεις ασφάλειας, τα σχέδια αντιμετώπισης συμβάντων είναι όλα σημαντικά μέτρα που πρέπει να εφαρμόσουν οι επιχειρήσεις για να μετριάσουν τους κινδύνους που ενέχουν οι συμμορίες ransomware.
Παραμένοντας σε επαγρύπνηση, οι οργανισμοί μπορούν να αμυνθούν καλύτερα από αυτές τις συνεχώς εξελισσόμενες επιθέσεις και να προστατεύσουν τα πολύτιμα περιουσιακά τους στοιχεία.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Black Basta: Πρώην μέλη επανέρχονται με Microsoft Teams phishing & Python Scripts
https://www.secnews.gr/650780/black-basta-proin-meli-epanerxontai-microsoft-teams-phishing-python-scripts/
Jun 12th 2025, 12:54
by Digital Fortress
Παρά την αποδυνάμωση της ομάδας ransomware Black Basta, μετά από τη διαρροή εσωτερικών συνομιλιών της, πρώην μέλη της φαίνεται να επανέρχονται δυναμικά, χρησιμοποιώντας γνώριμες τακτικές παραβίασης όπως email bombing και phishing επιθέσεις μέσω Microsoft Teams.
Σύμφωνα με νέα έκθεση της ReliaQuest, οι εισβολείς ενισχύουν πλέον τις επιθέσεις τους με Python scripts, τα οποία χρησιμοποιούν cURL requests για την ανάκτηση και εκτέλεση κακόβουλων payloads, αυξάνοντας τη δυναμική και την ευελιξία των επιθέσεων.
Η έκθεση αναφέρει ότι μεταξύ Φεβρουαρίου και Μαΐου 2025, σχεδόν το 50% των phishing προσπαθειών μέσω Teams (από τους συγκεκριμένους hackers) προήλθε από domains τύπου onmicrosoft[.]com και τα παραβιασμένα domains αντιπροσώπευαν το 42% των επιθέσεων κατά την ίδια περίοδο (τακτική που καθιστά πιο δύσκολο τον εντοπισμό, καθώς μιμείται κανονικό, νόμιμο traffic).
Δείτε επίσης: Sensata Technologies: Ransomware επίθεση οδήγησε σε παραβίαση δεδομένων
Αξιοσημείωτο είναι πως μόνο τον προηγούμενο μήνα, πελάτες της ReliaQuest σε κρίσιμους κλάδους όπως χρηματοοικονομικά, ασφάλειες και βιομηχανική παραγωγή, στοχοποιήθηκαν μέσω παραπλανητικών Microsoft Teams μηνυμάτων που προσποιούνταν τεχνική υποστήριξη. Στόχος των hackers ήταν η εξαπάτηση υπαλλήλων και η απόκτηση διαπιστευτηρίων.
Η επιστροφή των τακτικών της Black Basta επιβεβαιώνει ότι οι ομάδες κυβερνοεγκλήματος δεν εξαφανίζονται εύκολα – απλώς αλλάζουν πρόσωπο, εργαλεία και πλαίσιο δράσης. Σύμφωνα με τη ReliaQuest, τα πρώην μέλη της διαβόητης ransomware ομάδας Black Basta είτε έχουν προσχωρήσει σε νέες συνεργασίες είτε έχουν σχηματίσει νέα ομάδα στο πλαίσιο Ransomware-as-a-Service (RaaS).
Ένα πιθανό νέο καταφύγιο φαίνεται να είναι η ομάδα CACTUS RaaS, καθώς στις διαρροές των συνομιλιών της Black Basta, ο επικεφαλής της – γνωστός με το ψευδώνυμο "Trump" – αναφέρεται σε πληρωμή ύψους 500.000 με 600.000 δολαρίων προς την CACTUS.
Ωστόσο, από τον Μάρτιο του 2025, η CACTUS δεν έχει δημοσιεύσει νέα θύματα στον δικό της ιστότοπο διαρροών, γεγονός που δημιουργεί υποψίες περί σκόπιμης "σιωπής", διάλυσης ή στροφής προς πιο αφανή δραστηριότητα. Παράλληλα, οι ερευνητές δεν αποκλείουν τη μεταφορά πρώην συνεργατών στην BlackLock, μια αναδυόμενη απειλή που φέρεται να έχει συνδεθεί με το ransomware DragonForce.
Δείτε επίσης: Η ransomware ομάδα Interlock πίσω από την επίθεση στο Kettering Health;
Στο επιχειρησιακό πεδίο, οι κυβερνοεγκληματίες συνεχίζουν να αξιοποιούν επιθέσεις phishing μέσω Microsoft Teams, όπως είπαμε και παραπάνω, προκειμένου να αποκτήσουν πρόσβαση σε συστήματα και να ξεκινήσουν remote desktop sessions μέσω εργαλείων όπως Quick Assist και AnyDesk. Αφού εγκατασταθούν, κατεβάζουν και εκτελούν Python scripts από απομακρυσμένους servers, εδραιώνοντας υποδομές command & control (C2) μέσα στα δίκτυα-στόχους.
Η χρήση Python scripts σε αυτές τις επιθέσεις υποδεικνύει μια νέα τεχνική που κερδίζει έδαφος, και όπως τονίζει η ReliaQuest, είναι πολύ πιθανό να τη δούμε να κυριαρχεί στις επόμενες phishing καμπάνιες μέσω Teams.
Οι τακτικές της Black Basta χρησιμοποιούνται και από την ομάδα BlackSuit
Η τακτική social engineering που κατέστη σήμα κατατεθέν της Black Basta – ένας συνδυασμός spam email, phishing μέσω Microsoft Teams και κατάχρησης του εργαλείου Quick Assist – φαίνεται πλέον να χρησιμοποιείται και από την ομάδα BlackSuit, ενισχύοντας το ενδεχόμενο συγχώνευσης ή "μεταγραφών" από τη μία ομάδα στην άλλη.
Σύμφωνα με ανάλυση της Rapid7, η αρχική πρόσβαση που αποκτούν οι κυβερνοεγκληματίες χρησιμοποιείται για την εγκατάσταση νέων παραλλαγών ενός Remote Access Trojan (RAT) βασισμένου σε Java, το οποίο στο παρελθόν είχε χρησιμοποιηθεί ως εργαλείο κλοπής διαπιστευτηρίων στο οπλοστάσιο της Black Basta.
Ωστόσο, στις νέες επιθέσεις χρησιμοποιείται μια ενημερωμένη έκδοση που προσφέρει πολλαπλές δυνατότητες, όπως:
• Μεταφορά αρχείων μεταξύ του μολυσμένου μηχανήματος και του διακομιστή ελέγχου
• Εκκίνηση SOCKS5 proxy tunnel
• Κλοπή διαπιστευτηρίων από web browsers
• Εμφάνιση παραπλανητικού παραθύρου σύνδεσης των Windows για κλοπή credentials
• Δυνατότητα λήψης και εκτέλεσης Java class στη μνήμη, απευθείας από URL
• Δείτε επίσης: FBI: Το Play ransomware έχει παραβιάσει 900 οργανισμούς
Καθώς οι παραπάνω τακτικές γίνονται πιο διαδεδομένες στον χώρο του ransomware, οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο αποκλεισμού εξωτερικών domains από τα μηνύματα και τις κλήσεις στο Microsoft Teams. Επίσης, συνιστάται η απενεργοποίηση του Quick Assist σε κρίσιμα περιβάλλοντα.
Δεδομένου ότι οι εταιρείες βασίζονται όλο και περισσότερο στην τεχνολογία για τις δραστηριότητές τους, είναι ζωτικής σημασίας να δοθεί προτεραιότητα στην ασφάλεια στον κυβερνοχώρο. Η εκπαίδευση των εργαζομένων, οι τακτικές αξιολογήσεις ασφάλειας, τα σχέδια αντιμετώπισης συμβάντων είναι όλα σημαντικά μέτρα που πρέπει να εφαρμόσουν οι επιχειρήσεις για να μετριάσουν τους κινδύνους που ενέχουν οι συμμορίες ransomware.
Παραμένοντας σε επαγρύπνηση, οι οργανισμοί μπορούν να αμυνθούν καλύτερα από αυτές τις συνεχώς εξελισσόμενες επιθέσεις και να προστατεύσουν τα πολύτιμα περιουσιακά τους στοιχεία.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz