Operasi tipuan Black Basta perdaya korbannya, yang mengganggu para korban dengan serangan email spam dan menggunakan layanan pelanggan palsu yang menipu mereka agar mengunduh malware.
Trik ini muncul di tengah adanya saran keamanan siber gabungan baru dari FBI, Badan Keamanan Siber dan Infrastruktur (CISA), Departemen Kesehatan dan Layanan Kemanusiaan (HHS), dan Pusat Pembagian dan Analisis Informasi Multi-Negara (MS-ISAC).
Peringatan tersebut tentang serangan masif Black Basta terhadap infrastruktur penting. Dimana operasi ransomware-as-a-service (RaaS), menggunakan spearphishing dan kerentanan perangkat lunak untuk mendapatkan akses awal ke organisasi yang sensitif dan bernilai tinggi.
Baca juga: Ransomware Pendatang Baru 2024 |
Pendekatan Baru Black Basta
Setidaknya satu cabang dari operasi Black Basta mengambil pendekatan baru ketimbang melakukan pelanggaran yang tajam dan ditargetkan.
Para peneliti mengamati bahwa mereka mengirimkan sekumpulan email spam kepada para korban, dan kemudian menelepon mereka untuk menawarkan bantuan. Ketika korban menerima bantuan, aksi dimulai.
Sejauh ini, para korban tersebut berasal dari berbagai industri seperti manufaktur, konstruksi, makanan dan minuman, serta transportasi, kata Robert Knapp, manajer senior layanan respons insiden di Rapid7, seraya menambahkan bahwa, “mengingat sejumlah organisasi yang terkena dampaknya, serangan-serangan ini tampaknya lebih oportunis daripada yang ditargetkan.”
Tipuan Black Basta Perdaya Korban
Black Basta telah menyusupi banyak organisasi sejak pertama kali ditemukan pada April 2022, termasuk selusin dari 16 sektor infrastruktur penting yang ditetapkan AS. Secara total, afiliasi telah menyerang lebih dari 500 perusahaan di seluruh dunia.
Secara historis, aspek yang paling tidak menarik dari modus operandinya adalah cara memperoleh akses awal ke dalam sistem. Seperti yang disebutkan dalam peringatan bersama, spearphishing adalah pilihannya.
Namun, sejak bulan Februari, afiliasi juga telah melakukan pekerjaan tersebut dengan mengeksploitasi bug ConnectWise ScreenConnect CVE-2024-1709 dengan peringkat 10.0 “kritis”. Penyimpangan dari naskah tersebut telah terjadi sejak bulan April.
Serangan dalam operasi terbaru dimulai dengan gelombang email (cukup untuk membebani perlindungan dasar spam) kepada sekelompok korban di lingkungan yang ditargetkan. Banyak dari email itu sendiri yang sah, sebagian besar terdiri dari pemberitahuan pendaftaran buletin milik perusahaan yang nyata dan jujur.
Ketika target merasa kesal dan bingung, para pelaku kemudian mulai melakukan panggilan. Satu demi satu mereka menyamar sebagai anggota staf TI target, menawarkan bantuan untuk mengatasi masalah mereka, dalam variasi penipuan dukungan teknis klasik. Untuk melakukannya, kata mereka, korban perlu mengunduh alat dukungan jarak jauh, baik platform pemantauan dan manajemen jarak jauh (RMM) AnyDesk, atau utilitas Quick Assist asli Windows.
Jika target tidak patuh, pelaku akan mengakhiri panggilan dan melanjutkan ke korban berikutnya.
Baca juga: Nafas Panjang Ransomware |
Anydesk & Quick Assist
Jika target menjalankan AnyDesk atau Quick Assist, pelaku akan menginstruksikan mereka tentang cara menyerahkan akses ke komputer mereka.
Begitu masuk, pelaku menjalankan serangkaian skrip batch yang disamarkan sebagai pembaruan perangkat lunak. Skrip pertama mengonfirmasi konektivitas dengan infrastruktur perintah dan kontrol (C2) penyerang, kemudian mengunduh arsip ZIP yang berisi OpenSSH, yang memungkinkan eksekusi perintah jarak jauh.
Untuk trik menjengkelkan berikutnya, skrip Black Basta membuat entri kunci run di registri Windows. Entri ini menunjuk ke skrip batch tambahan, yang membuat shell terbalik untuk dieksekusi pada saat run time.
Dengan demikian, loop tak terbatas tercipta, di mana pelaku mendapatkan shell ke command-and-control (C2) setiap kali mesin korban di-restart.
Yang Harus Dilakukan
Meskipun para peneliti mengamati para pelaku mengambil beberapa kredensial, mereka tidak menemukan adanya eksfiltrasi atau pemerasan data massal. Langkah-langkah tersebut mungkin belum tercapai.
Direkomendasikan agar perusahaan mempertimbangkan solusi RMM mana yang mereka gunakan, dan memanfaatkan alat “daftar yang diizinkan” seperti AppLocker untuk memblokir solusi lain yang tidak mereka gunakan.
Untuk keamanan ekstra, perusahaan juga dapat memblokir domain yang terkait dengan RMM yang tidak diizinkan tersebut.
Jika semuanya gagal, jika suatu organisasi tidak dapat langsung memblokir aktivitas ini, pendekatan yang disarankan adalah melakukan prosedur pemantauan dan respons yang cermat. Perusahaan dapat memantau instalasi dan pelaksanaan AnyDesk, membandingkan aktivitas tersebut dengan metode yang mereka ketahui. penerapan perangkat lunak yang kemungkinan berasal dari sistem penerapan yang diharapkan dari akun pengguna yang diharapkan, dan selidiki setiap perilaku yang berada di luar garis dasar.
Sumber berita: