Actus

QBot pousse désormais le rançongiciel Black Basta dans les attaques alimentées par des bots

Par , le 11 juin 2022 - 4 minutes de lecture
QBot pousse désormais le rançongiciel Black Basta dans les attaques alimentées par des bots
Notez l'article

Le gang de rançongiciels Black Basta s’est associé à l’opération de logiciels malveillants QBot pour se propager latéralement dans des environnements d’entreprise piratés.

QBot (QuakBot) est un logiciel malveillant Windows qui vole les informations d’identification bancaires, les informations d’identification de domaine Windows et fournit d’autres charges utiles de logiciels malveillants sur les appareils infectés.

Les victimes sont généralement infectées par Qbot via des attaques de phishing avec des pièces jointes malveillantes. Même s’il a commencé comme un cheval de Troie bancaire, il a eu de nombreuses collaborations avec d’autres gangs de rançongiciels, notamment MegaCortex, ProLock, DoppelPaymer et Egregor.

Black Basta s’associe à Qbot

Black Basta est une opération de rançongiciel relativement nouvelle qui a commencé de manière impressionnante, attaquant de nombreuses entreprises en un temps relativement court tout en exigeant des paiements de rançon importants.

Les analystes du groupe NCC ont découvert le nouveau partenariat entre Qakbot et Black Basta lors d’une récente réponse à un incident où ils ont pu identifier les techniques utilisées par l’acteur menaçant.

Alors que les gangs de rançongiciels utilisent normalement QBot pour l’accès initial, NCC affirme que le gang Black Basta l’a utilisé pour se propager latéralement sur tout le réseau.

Plus précisément, le logiciel malveillant crée à distance un service temporaire sur l’hôte cible et le configure pour exécuter sa DLL à l’aide de regsvr32.exe.

Une fois que Qakbot est opérationnel, il peut infecter les partages et les lecteurs réseau, forcer les comptes AD ou utiliser le protocole de partage de fichiers SMB (Server Message Block) pour créer des copies de lui-même ou se propager via les partages d’administration par défaut en utilisant les informations d’identification de l’utilisateur actuel.

“Qakbot était la principale méthode utilisée par l’acteur de la menace pour maintenir sa présence sur le réseau. L’auteur de la menace a également été observé en train d’utiliser des balises Cobalt Strike pendant la compromission », explique le rapport du groupe NCC.

Les analystes notent également qu’ils ont découvert un fichier texte nommé “pc_list.txt” dans le dossier Windows, qui contenait une liste d’adresses IP internes de tous les systèmes du réseau, probablement générée par Qakbot.

Désactivation de Windows Defender

Désactivation de Windows Defender

Lors de la récente attaque observée par les intervenants de la CCN, le Black Basta présente les mêmes caractéristiques que celles observées depuis que BleepingComputer l’a initialement signalé.

Ces caractéristiques incluent la modification de l’icône du fond d’écran, la suppression des clichés instantanés, l’ajout de l’extension .basta sur les fichiers chiffrés et la génération d’un identifiant d’entreprise dans les notes de rançon.

Cependant, NCC déclare que les acteurs de la menace désactivent également Windows Defender pour échapper à la détection et minimiser les risques de compromettre le succès de l’étape de chiffrement.

Les opérateurs de ransomware ont atteint cet objectif soit en exécutant des commandes PowerShell, soit en créant un GPO sur un contrôleur de domaine compromis, qui effectuerait des modifications sur le registre Windows.

Qakbot peut se déplacer rapidement à l’intérieur de réseaux compromis, en saisissant les informations d’identification du compte et en se déplaçant vers les postes de travail adjacents. Pourtant, la charge utile du ransomware n’est pas récupérée immédiatement, il y a donc toujours une fenêtre d’opportunité pour les défenseurs avant que la catastrophe ne frappe.

Le cheval de Troie a des voies d’attaque complexes et variées, chacune avec ses propres possibilités de détection, mais elles commencent toutes par l’arrivée d’un e-mail malveillant. C’est donc là qu’il faut faire le plus attention, en évitant d’ouvrir des pièces jointes ou de cliquer sur des liens intégrés.

  • Talavera Split-Ender PRO2 Split Remover Black
    Le Split-Ender est une invention unique et révolutionnaire, brevetée dans le monde entier et spécialement conçue pour éliminer les pointes fourchues tout en conservant la longueur des cheveux.Grâce à l'impressionnante invention du Split-Ender, les hommes et les femmes peuvent désormais faire pousser leurs cheveux à la longueur souhaitée plus rapidement, plus beaux et plus sains que jamais.Le concept est que lorsque les cheveux sont propres et complètement secs, chaque mèche de cheveux entre dans les lames librement et individuellement avec un mouvement linéaire et peut être coupée individuellement aux pointes.Le Split-Ender PRO est spécialement conçu pour ne couper que les extrémités fendues qui entrent dans les lames. Il ne coupe que 6 mm des extrémités de la pointe avec l'entretoise fixe.Avant d'utiliser le Split-Ender PRO, démêlez complètement les cheveux avec le peigne et enlevez les nœuds pour éviter que les cheveux ne soient arrachés.Le Split-Ender PRO doit glisser facilement et confortablement dans les cheveux. Une demande prend généralement environ 30 minutes.1 brosse de nettoyage1 caisse de stockage1 câble de chargementGarantie des instruments 2 ans
  • Talavera Split-Ender PRO split end remover - Pour les coiffeurs Black
    Le Split-Ender est une invention unique et révolutionnaire, brevetée dans le monde entier et spécialement conçue pour éliminer les pointes fourchues tout en conservant la longueur des cheveux.Grâce à l'impressionnante invention du Split-Ender, les hommes et les femmes peuvent désormais faire pousser leurs cheveux à la longueur souhaitée plus rapidement, plus beaux et plus sains que jamais.Le Split-Ender PRO est une véritable innovation parmi les tondeuses à cheveux. Grâce à sa technologie innovante et à la position spéciale de la lame, seules les pointes fourchues sont éliminées lorsque les cheveux sont tirés - les cheveux sains sont complètement préservés.Le Split-Ender PRO est spécialement conçu pour ne couper que les extrémités fendues qui entrent dans les lames. Il ne coupe que 3 mm des extrémités fendues avec l'entretoise 1/8"" et 6 mm avec l'entretoise 1/4"".Avant d'utiliser le Split-Ender PRO, démêlez complètement les cheveux avec le peigne et enlevez les nœuds pour éviter que les cheveux ne soient arrachés.Le Split-Ender PRO doit glisser facilement et confortablement dans les cheveux. Une demande prend généralement environ 30 minutes.2 mètres de distance (3 mm et 6 mm)1 brosse de nettoyage2 pinces à compartiments1 peigne1 caisse de stockage1 câble de chargementGarantie des instruments 2 ans

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.