Black Basta сотрудничают с вредоносным ПО QBot

Аналитики NCC Group обнаружили партнерство между QBot и Black Basta , которая использовала QBot для бокового распространения по сети. Вредоносное ПО удаленно создала временную службу на целевом хосте и настроила ее для выполнения своей DLL с помощью regsvr32.exe.

После запуска QBot может заражать общие сетевые ресурсы и диски, а также использовать SMB протокол (Server Message Block) для создания своих копий или распространения через общие ресурсы администратора, используя учетные данные пользователя.

«QBot использовался злоумышленником для поддержания своего присутствия в сети. Киберпреступник также был замечен с использованием маяков Cobalt Strike во время компрометации», - поясняется в отчете NCC Group.

Недавняя атака Black Basta содержала изменение значка обоев, удаление теневых копий, добавление расширения .basta к зашифрованным файлам и создание идентификатора кампании в записке с требованием выкупа. Более того, Black Basta также отключили Защитника Windows, чтобы избежать обнаружения.

QBot имеет сложные и разнообразные способы атаки, каждый из которых имеет свои возможности для обнаружения, но все они начинаются с получения фишингового электронного письма. Пользователь должен обращать на это внимание и избегать открытия вложений или нажатия на встроенные ссылки.

Напомним, что операторы вредоносного ПО Qbot (также известного как Qakbot и QuakBot) могут украсть конфиденциальные данные всего за 30 минут . Злоумышленникам требуется 30 минут, чтобы украсть данные браузера и электронные письма из Microsoft Outlook, и 50 минут, прежде чем они перейдут на соседнюю компьютерную систему.