Le gang de ransomwares Black Basta a fait preuve de résilience et d’une capacité à s’adapter à un espace en constante évolution, en utilisant de nouveaux outils et tactiques personnalisés pour échapper à la détection et se propager à travers un réseau.
Black Basta est un opérateur de ransomware actif depuis avril 2022 et responsable de plus de 500 attaques réussies contre des entreprises dans le monde entier.
Le groupe de ransomwares suit une stratégie de double extorsion, combinant vol de données et cryptage, et exige des paiements de rançon importants, par millions. Le gang de ransomwares s’était auparavant associé au botnet QBot pour obtenir un accès initial aux réseaux d’entreprise.
Cependant, après que le botnet QBot a été perturbé par les forces de l’ordre, Mandiant rapporte que le gang de ransomwares a dû créer de nouveaux partenariats pour violer les réseaux d’entreprise.
De plus, Mandiant, qui suit les acteurs de la menace sous le numéro UNC4393, a identifié de nouveaux logiciels malveillants et outils utilisés dans les intrusions Black Basta, démontrant leur évolution et leur résilience.
Le gang de ransomwares Black Basta a connu une année active jusqu’à présent, compromettant des entités notables telles que Veolia North America, Hyundai Motor Europe et Keytronic.
La sophistication du groupe de menaces se reflète dans le fait qu’il a souvent accès à des exploits de vulnérabilité zero-day, y compris l’élévation des privilèges Windows (2024-26169) et les failles de contournement d’authentification VMware ESXi (CVE-2024-37085).
Nouvelles tactiques et outils Black Basta
Après que le FBI et le DOJ ont démantelé l’infrastructure QBot à la fin de 2023, Black Basta s’est tourné vers d’autres clusters de distribution d’accès initiaux, notamment ceux qui diffusaient des logiciels malveillants DarkGate.
Plus tard, Black Basta est passé à l’utilisation de SilentNight, un malware de porte dérobée polyvalent livré par malvertising, marquant une rupture avec le phishing comme principale méthode d’accès initial.
Mandiant rapporte que Black Basta est progressivement passé de l’utilisation d’outils accessibles au public à des logiciels malveillants personnalisés développés en interne.
Au début de 2024, UNC4393 a été observé en train de déployer un compte-gouttes personnalisé uniquement en mémoire nommé Dawn Cry. Ce compte-gouttes a déclenché une infection en plusieurs étapes, suivie de Dave Shell, qui a finalement conduit au tunnelier du chantier portuaire.
Port Yard, également un outil personnalisé, établit des connexions avec l’infrastructure de commandement et de contrôle (C2) de Black Basta et assure le trafic par procuration.
D’autres outils personnalisés remarquables utilisés par Black Basta lors d’opérations récentes sont:
- Les rouages peuvent: A.NOUVEL outil de reconnaissance utilisé pour rassembler une liste d’hôtes disponibles sur le réseau et collecter des informations sur le système.
- Système B C: Un tunnelier qui récupère les commandes liées au proxy à partir d’un serveur C2 à l’aide d’un protocole binaire personnalisé sur TCP.
- KnockTrock: Un utilitaire basé sur. NET qui crée des liens symboliques sur des partages réseau et exécute l’exécutable du ransomware BASTA, en lui fournissant le chemin d’accès au lien symbolique nouvellement créé.
- Piège connu: Un compte-gouttes en mémoire uniquement écrit en C / C++ qui peut exécuter une charge utile supplémentaire en mémoire.
Combiné à ce qui précède, Black Basta continue d’utiliser des binaires « vivant de la terre » et des outils facilement disponibles dans ses dernières attaques, y compris l’utilitaire de ligne de commande Windows certutil pour télécharger SilentNight et l’outil Rclone pour exfiltrer les données.
Dans l’ensemble, Black Basta reste une menace mondiale importante et l’un des principaux acteurs du secteur des ransomwares.