Black Basta 勒索软件团伙自 2022 年 4 月以来一直活跃,负责全球 500 多次攻击,现在正在使用新的定制工具和策略来逃避检测并在网络内传播。Black Basta 以其结合数据盗窃和加密的双重勒索策略而闻名,此前曾与 QBot 僵尸网络合作,以获得初步访问公司系统的权限。然而,在执法部门破坏 QBot 之后,该集团开发了新的合作伙伴关系和先进的工具来维持其运营。
Mandiant 跟踪该团伙为 UNC4393,指出 Black Basta 最近的入侵目标包括威立雅北美、现代汽车欧洲和 Keytronic 等知名企业。该组织的复杂性体现在他们利用零日漏洞,包括 Windows 权限提升和 VMware ESXi 身份验证绕过漏洞。
为了应对 QBot 基础设施的拆除,Black Basta 采用了替代的初始访问方法,包括分发 DarkGate 恶意软件,后来转而使用 SilentNight,这是一种通过恶意广告传递的多功能后门恶意软件。这种转变标志着从网络钓鱼到更先进和规避的技术的重大战术转变。Mandiant 进一步报告说,Black Basta 逐渐从使用公开可用的工具转向内部开发的定制恶意软件,突显了他们在不断发展的网络威胁环境中的适应性和复原力。来源