安全公司Cybereason在调查其客户的安全事件,发现了新一波针对美国企业的勒索软件攻击,这系列勒索攻击由Black Basta组织发起,并通过僵尸网络Qakbot快速传播,安全人员提醒,由于遭到攻击后IT基础设施可能迅速被严重破坏,企业必需要特别注意这波攻击。
Black Basta是一个勒索软件组织,在2022年4月才出现,专门针对美国、加拿大、英国、澳洲和新西兰的企业,该组织惯用双重勒索策略,先窃取被害者敏感文件和资讯,并威胁要公开资料来勒索被害者支付赎金。
在Black Basta最新的攻击活动中,他们使用Qakbot恶意软件创建初始进入点,并在企业网络内横向移动。Qakbot是一种银行木马,主要被用来窃取被害者的财务资料,包括浏览器资讯和凭证等,一旦Qakbot成功感染系统,便会安装上后门,使得攻击者能够投放后续的恶意软件,像是勒索软件等。
Cybereason团队描述了这次攻击活动的流程,一开始会从Qakbot感染开始,并在组织中多台重要机器加载Cobalt Strike,最终将Black Basta勒索软件部署到全球。而为了让恢复更加困难,攻击者会禁用DNS服务,将被害者锁在网络之外。
这次的攻击行动有几个特点,首先是整个攻击行动很快,在不少案例中,攻击者会在不到2小时内就获得域名管理人员权限,并在12小时内开始部署勒索软件。由于攻击者向美国公司大量撒下Qakbot,并且进行鱼叉式网络钓鱼行动,在过去2个星期,Cybereason已经发现10多起企业受攻击案例。
原先安全人员并未发现Black Basta勒索软件和Qakbot的关联性,但因为一个快速入侵并且部署Black Basta的案例,才发现Qakbot参与其中。Cybereason提醒企业,应该要对这个攻击活动提高警觉,因为IT基础设施可能会迅速地被严重破坏。
针对Black Basta勒索软件攻击的缓解措施,除了更新网络攻击防御平台之外,安全人员也提出许多建议,包括要封锁已受感染的用户,避免或减缓攻击者在网络上传播,识别且切断恶意IP和域名的流量。当用户的域名控制器遭到攻击者访问,就可能所有账户被盗用,安全人员建议在重建网络的时候,应重置所有Active Directory访问权限,事后也应该彻底调查攻击者的行为,确保没有任何疏漏。