Το Black Basta ransomware εξελίσσεται και αποφεύγει την ανίχνευση

Η συμμορία ransomware Black Basta έχει δείξει ανθεκτικότητα και ικανότητα προσαρμογής σε έναν συνεχώς μεταβαλλόμενο χώρο, χρησιμοποιώντας νέα προσαρμοσμένα εργαλεία και τακτικές για να αποφύγει τον εντοπισμό και να εξαπλωθεί σε ένα δίκτυο.

Δείτε επίσης: Σφάλμα VMware ESXi χρησιμοποιείται σε επιθέσεις ransomware

Η Black Basta είναι μία ομάδα ransomware που είναι ενεργή από τον Απρίλιο του 2022 και είναι υπεύθυνη για περισσότερες από 500 επιτυχημένες επιθέσεις σε εταιρείες παγκοσμίως. Η ομάδα ransomware ακολουθεί μια στρατηγική διπλού εκβιασμού, που συνδυάζει κλοπή δεδομένων και κρυπτογράφηση και απαιτεί μεγάλες πληρωμές λύτρων. Η συμμορία συνεργάστηκε στο παρελθόν με το botnet QBot για να αποκτήσει αρχική πρόσβαση στα εταιρικά δίκτυα.

Ωστόσο, μετά τη διακοπή του botnet QBot από τις αρχές επιβολής του νόμου, η Mandiant αναφέρει ότι η συμμορία ransomware έπρεπε να δημιουργήσει νέες συνεργασίες για να παραβιάζει εταιρικά δίκτυα. Επιπλέον η Mandiant, έχει εντοπίσει νέο κακόβουλο λογισμικό και εργαλεία που χρησιμοποιούνται στις επιθέσεις Black Basta, επιδεικνύοντας την εξέλιξη και την ανθεκτικότητά τους.

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 9 hours ago

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 16 hours ago

Λογισμικό ακουστικών βαρηκοΐας εγκρίθηκε για τα AirPods Pro. Ο Οργανισμός Τροφίμων και Φαρμάκων (FDA) των ΗΠΑ, ενέκρινε την Πέμπτη το πρώτο λογισμικό ακουστικών βαρηκοΐας χωρίς ιατρική συνταγή, που προορίζεται να χρησιμοποιηθεί με συμβατές εκδόσεις των ακουστικών AirPods Pro της Apple.

00:00 Εισαγωγή
00:22 AirPods Pro 2
01:05 Ενίσχυση ήχων
01:58 Λειτουργία Hearing Aid

Μάθετε περισσότερα: https://www.secnews.gr/618673/fda-exousiodotei-proto-logismiko-akoustikon-varikoias-airpods-pro/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmU0ZzdzODMzeXlN

Λογισμικό ακουστικών βαρηκοΐας εγκρίθηκε για τα AirPods Pro

SecNewsTV 13 Σεπτεμβρίου 2024, 19:21 19:21

Load More... Subscribe

Η συμμορία ransomware Black Basta είχε μια ενεργή χρονιά μέχρι στιγμής, θέτοντας σε κίνδυνο αξιόλογες οντότητες όπως η Veolia North America, η Hyundai Motor Europe και η Keytronic.

Η πολυπλοκότητα της ομάδας απειλών αντικατοπτρίζεται στο γεγονός ότι έχει συχνά πρόσβαση σε εκμεταλλεύσεις ευπάθειας zero-day, συμπεριλαμβανομένης της αύξησης των προνομίων των Windows (2024-26169) και των ελαττωμάτων παράκαμψης ελέγχου ταυτότητας VMware ESXi (CVE-2024-37085).

Η Mandiant αναφέρει ότι το Black Basta σταδιακά άλλαξε από τη χρήση διαθέσιμων στο κοινό εργαλείων σε προσαρμοσμένο κακόβουλο λογισμικό που έχει αναπτυχθεί εσωτερικά.

Δείτε ακόμα: Ερευνητές εισέβαλαν στο Cloud Storage του Medusa Ransomware

Στις αρχές του 2024, η ομάδα παρατηρήθηκε να αναπτύσσει ένα προσαρμοσμένο memory-only dropper, με το όνομα DawnCry. Αυτό το dropper ξεκίνησε μια μόλυνση πολλαπλών σταδίων, ακολουθούμενη από το DaveShell, το οποίο τελικά οδήγησε στο Tunneler PortYard.

Το PortYard, επίσης ένα προσαρμοσμένο εργαλείο, δημιουργεί συνδέσεις με την υποδομή εντολών και ελέγχου (C2) του Black Basta ransomware και την κυκλοφορία διακομιστών μεσολάβησης.

Άλλα αξιοσημείωτα προσαρμοσμένα εργαλεία που χρησιμοποιούνται από την Black Basta σε πρόσφατες λειτουργίες είναι:

• CogScan: Ένα εργαλείο αναγνώρισης .NET που χρησιμοποιείται για τη συλλογή μιας λίστας κεντρικών υπολογιστών που είναι διαθέσιμοι στο δίκτυο και τη συλλογή πληροφοριών συστήματος.
• SystemBC: Ένα tunneler που ανακτά εντολές που σχετίζονται με διακομιστές μεσολάβησης από έναν διακομιστή C2, χρησιμοποιώντας ένα προσαρμοσμένο δυαδικό πρωτόκολλο μέσω TCP.
• KnockTrock: Ένα βοηθητικό πρόγραμμα που βασίζεται σε .NET που δημιουργεί συμβολικούς συνδέσμους σε κοινόχρηστα στοιχεία δικτύου και εκτελεί το εκτελέσιμο λογισμικό BASTA ransomware, παρέχοντάς του τη διαδρομή προς τον νεοδημιουργημένο συμβολικό σύνδεσμο.
• KnowTrap: Ένα dropper μόνο για μνήμη γραμμένο σε C/C++ που μπορεί να εκτελέσει ένα επιπλέον ωφέλιμο φορτίο στη μνήμη.

Σε συνδυασμό με τα παραπάνω, το Black Basta συνεχίζει να χρησιμοποιεί δυαδικά αρχεία “living off the land” και άμεσα διαθέσιμα εργαλεία στις τελευταίες του επιθέσεις, συμπεριλαμβανομένου του βοηθητικού προγράμματος γραμμής εντολών των Windows certutil για λήψη του SilentNight και του εργαλείου Rclone για την εξαγωγή δεδομένων.

Συνολικά, το Black Basta παραμένει μια σημαντική παγκόσμια απειλή και ένας από τους κορυφαίους παίκτες στον χώρο του ransomware.

Δείτε επίσης: Το Columbus και άλλες πόλεις θύματα επιθέσεων ransomware

Οι επιθέσεις ransomware έχουν γίνει μια από τις πιο επικίνδυνες μορφές κυβερνοεγκλήματος στον σύγχρονο κόσμο. Αυτού του είδους οι επιθέσεις περιλαμβάνουν τη μόλυνση ενός υπολογιστή ή δικτύου με κακόβουλο λογισμικό, το οποίο κρυπτογραφεί τα δεδομένα του θύματος και απαιτεί πληρωμή για να αποκτήσει ξανά πρόσβαση σε αυτά. Οι στόχοι ποικίλλουν από ατομικούς χρήστες μέχρι μεγάλες εταιρείες και κυβερνητικούς οργανισμούς, προκαλώντας σοβαρές οικονομικές και λειτουργικές ζημιές. Η πρόληψη αυτών των επιθέσεων απαιτεί προσεκτική πολιτική ασφαλείας, τακτικά backups και εκπαίδευση των χρηστών για την αναγνώριση ύποπτων δραστηριοτήτων.

Πηγή: bleepingcomputer