È stato scoperto che gli attori delle minacce che dispiegano le famiglie di ransomware Black Basta e Cactus si basano sullo stesso modulo di backconnect (BC) per mantenere il controllo persistente sugli ospiti infetti, un segno che gli affiliati precedentemente associati a Black Basta potrebbero essere passati al cactus.
“Una volta infiltrato, garantisce agli aggressori una vasta gamma di capacità di controllo remoto, consentendo loro di eseguire comandi sulla macchina infetta”, Pattern Micro disse In un’analisi del lunedì. “Ciò consente loro di rubare dati sensibili, come credenziali di accesso, informazioni finanziarie e file personali.”
Vale la pena notare che i dettagli del modulo BC, che la società di sicurezza informatica sta monitorando come QBackConnect a causa di sovrapposizioni con il caricatore Qakbot, period Primo documentato Alla superb del gennaio 2025 del staff di intelligence Cyber di Walmart e Sophos, quest’ultimo dei quali ha designato il cluster il nome Stac5777.
Nell’ultimo anno, le catene di attacco Blara Basta hanno sempre più sfruttato Tattiche di bombardamento through e -mail per ingannare i potenziali obiettivi nell’installazione di rapidi help dopo essere stati contattati dall’attore di minaccia con il pretesto del supporto IT o del personale dell’helpdesk.
L’accesso funge quindi da condotto per scaricare un caricatore DLL dannoso (“Winhttp.dll”) chiamato Reedbed usando OneDriveStandaloneUpdater.exe, un eseguibile legittimo responsabile dell’aggiornamento di Microsoft Onedrive. Il caricatore alla superb decrittica e esegue il modulo BC.
Pattern Micro ha affermato di aver osservato un attacco di ransomware di cactus che impiegava lo stesso modus operandi per distribuire backconnect, ma anche andare oltre per compiere varie azioni post-sfruttamento come il movimento laterale e l’esfiltrazione dei dati. Tuttavia, gli sforzi per crittografare la rete della vittima si sono conclusi in fallimento.
La convergenza delle tattiche assume un significato speciale alla luce del Recenti perdite di registro di chat Black Basta che metteva a nudo la banda di criminalità e-criminalità Operazioni interne e struttura organizzativa.
In particolare, ha è emerso Quelle membri dell’equipaggio motivato finanziariamente hanno condiviso credenziali valide, alcune delle quali sono state provenienti da registri di rotaggio delle informazioni. Alcuni degli altri importanti punti di accesso iniziale sono portali RDP (remoti protocollo desktop (endpoint VPN.
“Gli attori delle minacce stanno usando queste tattiche, tecniche e process (TTP) – Vishing, assistenza rapida come strumento remoto e backconnect – per distribuire il ransomware Black Basta”, ha affermato Pattern Micro.
“In particolare, ci sono show che suggeriscono che i membri sono passati dal gruppo di ransomware Black Basta al gruppo di ransomware di cactus. Questa conclusione è trainata dall’analisi di tattiche, tecniche e process simili (TTP) utilizzate dal gruppo di cactus.”
