Black Basta adalah operasi ransomware yang aktif sejak April 2022 dan bertanggung jawab atas ratusan serangan terhadap perusahaan di seluruh dunia.
Setelah sindikat kejahatan dunia maya Conti ditutup pada Juni 2022 menyusul serangkaian pelanggaran data yang memalukan, operasi tersebut terbagi menjadi beberapa kelompok, dengan salah satu faksi ini diyakini sebagai Black Basta.
Dikutip dari Bleeping Computer, Black Basta membobol jaringan melalui berbagai metode, termasuk kerentanan, bermitra dengan botnet malware wish, dan rekayasa sosial.
Pada bulan Mei, Rapid7 dan ReliaQuest merilis saran tentang kampanye rekayasa sosial Black Basta baru yang membanjiri kotak masuk karyawan yang ditargetkan dengan ribuan email. Email ini tidak bersifat berbahaya, sebagian besar terdiri dari buletin, konfirmasi pendaftaran, dan verifikasi email, tetapi dengan cepat membanjiri kotak masuk pengguna.
Pelaku ancaman kemudian akan menelepon karyawan yang kewalahan, menyamar sebagai meja bantuan TI perusahaan mereka untuk membantu mereka mengatasi masalah spam mereka.
Selama serangan rekayasa sosial suara ini, penyerang mengelabui orang tersebut untuk menginstal alat dukungan jarak jauh AnyDesk atau menyediakan akses jarak jauh ke perangkat Windows mereka dengan meluncurkan alat remote control dan berbagi layar Windows Quick Assist.
Dari sana, penyerang akan menjalankan skrip yang menginstal berbagai muatan, seperti ScreenConnect, NetSupport Manager, dan Cobalt Strike, yang menyediakan akses jarak jauh berkelanjutan ke perangkat perusahaan pengguna.
Sekarang afiliasi Black Basta telah mendapatkan akses ke jaringan perusahaan, mereka akan menyebar secara lateral ke perangkat lain sambil meningkatkan hak istimewa, mencuri data, dan akhirnya menyebarkan enkripsi ransomware.
Pindah ke Microsoft Teams
Dalam sebuah laporan baru oleh ReliaQuest, para peneliti mengamati afiliasi Black Basta mengembangkan taktik mereka pada bulan Oktober dengan sekarang menggunakan Microsoft Teams. Seperti serangan sebelumnya, pelaku ancaman pertama-tama membanjiri kotak masuk karyawan dengan email.
Namun, alih-alih menelepon mereka, penyerang sekarang menghubungi karyawan melalui Microsoft Teams sebagai pengguna eksternal. Mereka menyamar sebagai meja bantuan TI perusahaan yang menghubungi karyawan untuk membantu mereka mengatasi masalah spam mereka.
Akun dibuat di bawah penyewa ID Entra yang dinamai agar tampak seperti meja bantuan, seperti:
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com
"Pengguna eksternal ini mengatur profil mereka ke "DisplayName" yang dirancang untuk membuat pengguna yang ditargetkan berpikir bahwa mereka berkomunikasi dengan akun meja bantuan," jelas laporan ReliaQuest yang baru.
"Dalam hampir semua kasus yang kami amati, nama tampilan menyertakan string "Help Desk," sering dikelilingi oleh karakter spasi, yang kemungkinan akan memusatkan nama dalam obrolan. Kami juga mengamati bahwa, biasanya, pengguna yang ditargetkan ditambahkan ke obrolan "OneOnOne"."
ReliaQuest mengatakan mereka juga telah melihat pelaku ancaman mengirim kode QR dalam obrolan, yang mengarah ke domain seperti qr-s1[.]Com. Namun, mereka tidak dapat menentukan untuk apa kode QR ini digunakan.
Para peneliti mengatakan bahwa pengguna Microsoft Teams eksternal berasal dari Rusia, dengan data zona waktu secara teratur berasal dari Moskow. Tujuannya adalah untuk sekali lagi mengelabui target agar menginstal AnyDesk atau meluncurkan Quick Assist sehingga pelaku ancaman dapat memperoleh akses jarak jauh ke perangkat mereka.
Setelah terhubung, pelaku ancaman terlihat memasang muatan bernama "AntispamAccount.exe", "AntispamUpdate.exe", dan "AntispamConnectUS.exe". Peneliti lain telah menandai AntispamConnectUS.exe di VirusTotal sebagai SystemBC, malware proxy yang digunakan Black Basta di masa lalu.
Pada akhirnya, Cobalt Strike dipasang, menyediakan akses penuh ke perangkat yang disusupi untuk bertindak sebagai batu loncatan untuk mendorong lebih jauh ke jaringan.
ReliaQuest menyarankan organisasi membatasi komunikasi dari pengguna eksternal di Microsoft Teams dan, jika diperlukan, hanya mengizinkannya dari domain tepercaya. Pengelogan juga harus diaktifkan, terutama untuk peristiwa ChatCreated, untuk menemukan obrolan yang mencurigakan.
Cek Berita dan Artikel yang lain di
Google News
