De nouvelles recherches ont mis au jour d’autres liens entre les gangs de ransomwares Black Basta et Cactus, les membres des deux groupes utilisant les mêmes attaques d’ingénierie sociale et le malware proxy BackConnect pour un accès post-exploitation aux réseaux d’entreprise.
En janvier, Zscaler a découvert un échantillon de malware Zloader qui contenait ce qui semblait être une nouvelle fonctionnalité de tunneling DNS. D’autres recherches menées par Walmart ont indiqué que Zloader abandonnait un nouveau logiciel malveillant proxy appelé BackConnect qui contenait des références de code au logiciel malveillant Qbot (QakBot).
BackConnect est un logiciel malveillant qui agit comme un outil proxy pour l’accès à distance à des serveurs compromis. BackConnect permet aux cybercriminels de tunneler le trafic, d’obscurcir leurs activités et d’intensifier les attaques dans l’environnement d’une victime sans être détectés.
Zloader, Qbot et BackConnect sont tous soupçonnés d’être liés à l’opération de ransomware Black Basta, les membres utilisant le logiciel malveillant pour violer et se propager à travers les réseaux d’entreprise.
Ces liens sont encore renforcés par une récente fuite de données BlackBasta qui a révélé les conversations internes de l’opération, y compris celles entre le responsable du gang de ransomwares et quelqu’un qui serait le développeur de Qbot.
Les liens
Black Basta est un gang de ransomwares lancé en avril 2022. On pense qu’il comprend des membres du gang de ransomwares Conti, qui a fermé ses portes en mai 2022 après avoir subi une fuite massive de données de code source et de conversations internes.
Le gang des ransomwares a historiquement utilisé Qakbot pour obtenir un accès initial aux réseaux d’entreprise. Cependant, après qu’une opération d’application de la loi de 2023 a perturbé les opérations de Qbot, l’opération Black Basta a recherché des logiciels malveillants alternatifs pour violer les réseaux.
Le pivot du groupe vers BackConnect suggère qu’ils travaillent toujours avec les développeurs connectés à l’opération Qbot.
Dans un nouveau rapport de Trend Micro, des chercheurs ont découvert que le groupe de ransomwares Cactus utilisait également BackConnect dans des attaques, indiquant un chevauchement potentiel des membres entre les deux groupes.
Dans les attaques Black Basta et Cactus vues par Trend Micro, les acteurs de la menace ont utilisé la même attaque d’ingénierie sociale consistant à bombarder une cible avec un nombre écrasant d’e-mails, une tactique généralement associée à Black Basta.
Les auteurs de la menace contactaient ensuite la cible via Microsoft Teams, se faisant passer pour un employé du service d’assistance informatique, incitant finalement la victime à fournir un accès à distance via Windows Quick Assist.
Bien que le flux d’attaques pour les attaques Black Basta et Cactus ne soit pas identique, elles étaient très similaires, Trend Micro ayant découvert que l’acteur menaçant Cactus utilisait des serveurs de commande et de contrôle généralement associés à Black Basta.
Le ransomware Cactus est apparu au début de 2023 et a depuis ciblé une gamme d’organisations en utilisant des tactiques similaires à celles de Black Basta.
Le précédent rapport de Breachtrace sur Cactus montrait également des liens entre les deux gangs de ransomwares, Cactus utilisant un script PowerShell appelé TotalExec qui était souvent observé dans les attaques de ransomware Black Basta.
De plus, le gang de ransomwares Black Basta a adopté une routine de cryptage qui était initialement unique aux attaques de ransomwares Cactus, renforçant encore les liens entre les deux groupes.
L’utilisation partagée de tactiques, de BackConnect et d’autres similitudes opérationnelles soulève des questions quant à savoir si Cactus ransomware est une nouvelle image de marque de Black Basta ou simplement un chevauchement entre les membres.
Cependant, Breachtrace a appris que Black Basta s’efface lentement depuis décembre 2024, son site de fuite étant hors ligne pendant la majeure partie de 2025.
On pense que de nombreux membres de Black Basta avaient déjà commencé à passer à d’autres gangs de ransomwares, comme Cactus, la récente fuite de données étant le dernier clou dans le cercueil.