Des entreprises basées aux États-Unis ont été la cible d’une campagne de logiciels malveillants Qakbot « agressive » qui conduit à des infections par le rançongiciel Black Basta sur des réseaux compromis.
« Dans cette dernière campagne, le gang de rançongiciels Black Basta utilise le logiciel malveillant QakBot pour créer un point d’entrée initial et se déplacer latéralement au sein du réseau d’une organisation », ont déclaré les chercheurs de Cybereason, Joakim Kandefelt et Danielle Frankel. a dit dans un rapport partagé avec The Hacker News.
Black Basta, qui a vu le jour en avril 2022, suit l’approche éprouvée de la double extorsion pour voler des données sensibles à des entreprises ciblées et les utiliser comme levier pour extorquer des paiements en crypto-monnaie en menaçant de divulguer les informations volées.
Ce n’est pas la première fois que l’équipe du ransomware est observée en train d’utiliser Qakbot (alias QBot, QuackBot ou Pinkslipbot). Le mois dernier, Trend Micro a révélé des attaques similaires qui impliquaient l’utilisation de Qakbot pour fournir le framework Brute Ratel C4, qui, à son tour, a été exploité pour abandonner Cobalt Strike.
L’activité d’intrusion observée par Cybereason élimine Brute Ratel C4 de l’équation, utilisant à la place Qakbot pour distribuer directement Cobalt Strike sur plusieurs machines dans l’environnement infecté.
La chaîne d’attaque commence par un e-mail de harponnage contenant un fichier image disque malveillant qui, lorsqu’il est ouvert, déclenche l’exécution de Qbot, qui, pour sa part, se connecte à un serveur distant pour récupérer la charge utile Cobalt Strike.
À ce stade, des activités de collecte d’informations d’identification et de déplacement latéral sont effectuées pour placer le cadre de l’équipe rouge sur plusieurs serveurs, avant de violer autant de terminaux que possible à l’aide des mots de passe collectés et de lancer le rançongiciel Black Basta.
« L’acteur de la menace a obtenu les privilèges d’administrateur de domaine en moins de deux heures et est passé au déploiement du ransomware en moins de 12 heures », ont noté les chercheurs, ajoutant que plus de 10 clients différents ont été touchés par la nouvelle série d’attaques au cours des deux dernières semaines.
Dans deux cas repérés par la société israélienne de cybersécurité, les intrusions ont non seulement déployé le rançongiciel, mais ont également verrouillé les victimes hors de leurs réseaux en désactivant le service DNS dans le but de rendre la récupération plus difficile.
Black Basta reste un acteur de ransomware très actif. Selon les données recueillies par MalwarebytesBlack Basta a ciblé avec succès 25 entreprises rien qu’en octobre 2022, la plaçant derrière LockBit, Karakurt et BlackCat.