Gli ex membri legati all’operazione di ransomware Black Basta sono stati osservati attaccati al loro approccio provato e testato di bombardamenti e -mail e phishing di Microsoft Groups stabilire l’accesso persistente alle reti goal.
“Di recente, gli aggressori hanno introdotto l’esecuzione dello script di Python insieme a queste tecniche, utilizzando le richieste di curl per recuperare e distribuire carichi utili dannosi”. disse In un rapporto condiviso con le notizie di Hacker.
Lo sviluppo è un segno che gli attori della minaccia continuano a ruotare e raggrupparsi, nonostante il Marchio Black Basta soffrendo un colpo enorme e un declino dopo il Perdita pubblica dei suoi registri di chat interni all’inizio di questo febbraio.
La società di sicurezza informatica ha dichiarato che metà degli attacchi di phishing delle squadre che sono stati osservati tra febbraio e maggio 2025 hanno avuto origine da domini di Onmicrosoft (.) COM e che i domini violati hanno rappresentato il 42% degli attacchi nello stesso periodo. Quest’ultimo è molto più furtivo e consente agli attori delle minacce di impersonare il traffico legittimo nei loro attacchi.
Di recente, il mese scorso, i clienti di Ricaquest nel settore finanziario e assicurativo e nel settore delle costruzioni sono stati presi di mira utilizzando il phishing dei workforce mascherandosi come personale addetto all’assist desk per ingannare gli utenti ignari.
“L’arresto del sito dei dati dei dati di Black Basta, nonostante l’uso continuato delle sue tattiche, indica che i ex affiliati sono probabilmente migrati in un altro gruppo RAAS o ne hanno formato uno nuovo”, ha aggiunto la società. “Lo situation più probabile è che gli ex membri si sono uniti al Gruppo Cactus Raasche è evidenziato dal chief di Black Basta Trump che fa riferimento a un pagamento da $ 500-600k a Cactus nelle chat tralite “.
Detto questo, vale la pena notare che Cactus non ha nominato alcuna organizzazione sul suo sito di perdita di dati dal marzo 2025, indicando che il gruppo si è sciolto o sta deliberatamente cercando di evitare di attirare l’attenzione su di sé. Un’altra possibilità è che gli affiliati si siano spostati Blacklockche, a sua volta, si ritiene che abbia iniziato a collaborare con a cartello ransomware nominato Dragonforce.
Gli attori della minaccia sono stati anche individuati sfruttando l’accesso ottenuto tramite la tecnica di phishing dei workforce a sessioni desktop distant iniziali tramite Fast Help e AnyDesk, e quindi scaricare uno script Python dannoso da un indirizzo remoto ed eseguirlo per stabilire le comunicazioni di comando e controllo (C2).
“L’uso delle sceneggiature di Python in questo attacco evidenzia una tattica in evoluzione che probabilmente diventerà più diffusa nelle campagne di phishing di squadre future nell’immediato futuro”, ha affermato Reliaquest.
La strategia di ingegneria sociale in stile Black Basta di utilizzare una combinazione di spamming e-mail, workforce phishing e rapido help ha anche trovato acquirenti nel gruppo ransomware nero, aumentando la possibilità che le affiliate dei neri abbiano abbracciato l’approccio o assorbito i membri del gruppo.
Secondo Rapid7, l’accesso iniziale funge da percorso per scaricare ed eseguire varianti aggiornate di un topo basato su Java che period stato precedentemente distribuito per agire come un Credential Harvester Negli attacchi di Blasta Black.
“Il malware Java ora abusa dei servizi di internet hosting di file basati su cloud forniti da Google e Microsoft ai comandi proxy tramite i rispettivi server del supplier di servizi cloud (CSP)”, la società disse. “Nel tempo, lo sviluppatore di malware si è spostato dalle connessioni dirette proxy (advert es. L’opzione di configurazione viene lasciata vuota o non presente), verso fogli OneDrive e Google e, più recentemente, verso semplicemente l’utilizzo di Google Drive.”
La nuova iterazione dei pacchetti di malware in più funzionalità per trasferire i file tra l’host infetto e un server remoto, avviare un tunnel proxy Socks5, rubare le credenziali memorizzate nei browser Internet, presentare una finestra di accesso Home windows falsa e scaricare una classe Java da un URL fornito e eseguirlo in memoria.
Come gli attacchi di ransomware alle 3 del mattino dettagliati da Sophos un paio di settimane fa, le intrusioni sono anche caratterizzate dall’uso di un backdoor di tunneling chiamato QDoor, un malware precedentemente attribuito a Blacksuit e un carico utile Rust che è probabilmente un caricatore personalizzato per l’utilità SSH e un ratto Python a cui si fa riferimento Anubi.
I risultati arrivano tra una serie di sviluppi nel panorama ransomware –
- Il gruppo finanziariamente motivato noto come Ragno sparso ha mirato I fornitori di servizi gestiti (MSP) e i fornitori IT nell’ambito di un approccio “uno-a-molti” per infiltrarsi a più organizzazioni attraverso un unico compromesso, in alcuni casi sfruttando account compromessi dal contraente IT globale Tata Consultancy Providers (TCS) per ottenere un accesso iniziale.
- Spersted Spider ha creato pagine di accesso fasullo utilizzando il package di phishing Evilginx per bypassare l’autenticazione multi-fattore (MFA) e alleanze strategiche forgiate Con i principali operatori di ransomware come Alphv (aka Blackcat), RansomHub e, più recentemente, Dragonforce, per condurre sofisticati attacchi colpiti da MSP sfruttando le vulnerabilità in SimpleHelp Distant Desktop Software program.
- Qilin (AKA Agenda e Phantom Mantis) Gli operatori ransomware hanno lanciato Una campagna di intrusione coordinata che mira a various organizzazioni tra maggio e giugno 2025 armando le vulnerabilità Fortinet FortiGate (advert es. CVE-2024-21762 E CVE-2024-55591) per l’accesso iniziale.
- IL Giocare (AKA Balloonfly e PlayCrypt) Ransomware Group è stimato avere compromesso 900 entità a maggio 2025 dalla sua emergenza a metà del 201022. Alcuni degli attacchi hanno sfruttato i difetti simpleHelp (CVE-2024-57727) per colpire molte entità con sede negli Stati Uniti in seguito alla divulgazione pubblica della vulnerabilità.
- L’amministratore del Vanhelsing Gruppo Ransomware ha trapelato l’intero codice sorgente sul discussion board RAMP, citando conflitti interni tra sviluppatori e management. I dettagli trapelati includono i tasti TOR, il codice sorgente ransomware, il pannello Internet di amministrazione, il sistema di chat, il file server e il weblog con il suo database completo, per Prodotto.
- IL Interblocco Gruppo Ransomware ha distribuito un Trojan advert accesso remoto JavaScript precedentemente privo di documenti chiamato Nodesnake Come parte di attacchi che mirano al governo locale e alle organizzazioni di istruzione superiore nel Regno Unito nel gennaio e nel marzo 2025. Il malware, distribuito tramite e -mail di phishing, offre accesso persistente, ricognizione del sistema e capacità di esecuzione di comandi remoti.
“I ratti consentono agli aggressori di ottenere il controllo remoto sui sistemi infetti, consentendo loro di accedere a file, monitorare le attività e manipolare le impostazioni del sistema”, Quorum Cyber disse. “Gli attori delle minacce possono utilizzare un topo per mantenere la persistenza all’interno di un’organizzazione e per introdurre utensili o malware aggiuntivi nell’ambiente. Possono anche accedere, manipolare, distruggere o esfiltrare i dati.”
