Иллюзия помощи: как Black Basta захватывает компьютеры через email-бомбардировку

Группа киберпреступников, связанная с Black Basta, изменила свою тактику, начав распространять вредоносные программы Zbot и DarkGate с октября 2024 года. По данным исследователей из Rapid7, злоумышленники активно используют методы социальной инженерии, включая «бомбардировку» электронных почт жертв с целью последующего контакта.

Ключевой этап атаки начинается с создания перегрузки почтового ящика жертвы, что достигается регистрацией её электронной почты на множестве сервисов для рассылок. Затем злоумышленники обращаются к пострадавшим, часто представляясь сотрудниками технической поддержки.

С августа 2024 года Black Basta использует Microsoft Teams для выхода на связь с потенциальными жертвами. При этом преступники представляются IT-специалистами компании, что помогает им завоевать доверие. Жертвам предлагается установить легитимное ПО удалённого доступа, такое как AnyDesk, TeamViewer или Microsoft Quick Assist, чтобы злоумышленники могли получить контроль над устройствами.

Microsoft отслеживает деятельность этой группы под названием Storm-1811. Одним из методов атак является отправка вредоносного QR-кода, с помощью которого преступники пытаются украсть учётные данные пользователей. Также выявлено использование OpenSSH для создания обратной оболочки и запуска дополнительных атак.

После установки ПО удалённого доступа злоумышленники внедряют программы для кражи учётных данных и запуска вредоносных нагрузок, включая Zbot или DarkGate. Цель — получить доступ к VPN-компонентам организации и обойти многофакторную аутентификацию, чтобы напрямую проникнуть в сеть компании.

Black Basta возникла в 2022 году после распада группы Conti, начав с использования QakBot, а затем перешла к гибридным методам атак, комбинируя вредоносное ПО и социальную инженерию. За это время были разработаны уникальные инструменты, такие как KNOTWRAP и DAWNCRY, для выполнения бесфайловых атак.

Дополнительно, аналитики ReliaQuest отметили, что QR-коды, возможно, направляют жертв на ресурсы для дальнейших атак. В целом, эволюция Black Basta отражает переход от ботнетов к более сложным гибридным схемам, что делает их угрозу особенно актуальной.