Actus

QBot pousse désormais le rançongiciel Black Basta dans les attaques alimentées par des bots

Par , le 11 juin 2022 - 4 minutes de lecture
QBot pousse désormais le rançongiciel Black Basta dans les attaques alimentées par des bots
Notez l'article

Le gang de rançongiciels Black Basta s’est associé à l’opération de logiciels malveillants QBot pour se propager latéralement dans des environnements d’entreprise piratés.

QBot (QuakBot) est un logiciel malveillant Windows qui vole les informations d’identification bancaires, les informations d’identification de domaine Windows et fournit d’autres charges utiles de logiciels malveillants sur les appareils infectés.

Les victimes sont généralement infectées par Qbot via des attaques de phishing avec des pièces jointes malveillantes. Même s’il a commencé comme un cheval de Troie bancaire, il a eu de nombreuses collaborations avec d’autres gangs de rançongiciels, notamment MegaCortex, ProLock, DoppelPaymer et Egregor.

Black Basta s’associe à Qbot

Black Basta est une opération de rançongiciel relativement nouvelle qui a commencé de manière impressionnante, attaquant de nombreuses entreprises en un temps relativement court tout en exigeant des paiements de rançon importants.

Les analystes du groupe NCC ont découvert le nouveau partenariat entre Qakbot et Black Basta lors d’une récente réponse à un incident où ils ont pu identifier les techniques utilisées par l’acteur menaçant.

Alors que les gangs de rançongiciels utilisent normalement QBot pour l’accès initial, NCC affirme que le gang Black Basta l’a utilisé pour se propager latéralement sur tout le réseau.

Plus précisément, le logiciel malveillant crée à distance un service temporaire sur l’hôte cible et le configure pour exécuter sa DLL à l’aide de regsvr32.exe.

Une fois que Qakbot est opérationnel, il peut infecter les partages et les lecteurs réseau, forcer les comptes AD ou utiliser le protocole de partage de fichiers SMB (Server Message Block) pour créer des copies de lui-même ou se propager via les partages d’administration par défaut en utilisant les informations d’identification de l’utilisateur actuel.

“Qakbot était la principale méthode utilisée par l’acteur de la menace pour maintenir sa présence sur le réseau. L’auteur de la menace a également été observé en train d’utiliser des balises Cobalt Strike pendant la compromission », explique le rapport du groupe NCC.

Les analystes notent également qu’ils ont découvert un fichier texte nommé “pc_list.txt” dans le dossier Windows, qui contenait une liste d’adresses IP internes de tous les systèmes du réseau, probablement générée par Qakbot.

Désactivation de Windows Defender

Désactivation de Windows Defender

Lors de la récente attaque observée par les intervenants de la CCN, le Black Basta présente les mêmes caractéristiques que celles observées depuis que BleepingComputer l’a initialement signalé.

Ces caractéristiques incluent la modification de l’icône du fond d’écran, la suppression des clichés instantanés, l’ajout de l’extension .basta sur les fichiers chiffrés et la génération d’un identifiant d’entreprise dans les notes de rançon.

Cependant, NCC déclare que les acteurs de la menace désactivent également Windows Defender pour échapper à la détection et minimiser les risques de compromettre le succès de l’étape de chiffrement.

Les opérateurs de ransomware ont atteint cet objectif soit en exécutant des commandes PowerShell, soit en créant un GPO sur un contrôleur de domaine compromis, qui effectuerait des modifications sur le registre Windows.

Qakbot peut se déplacer rapidement à l’intérieur de réseaux compromis, en saisissant les informations d’identification du compte et en se déplaçant vers les postes de travail adjacents. Pourtant, la charge utile du ransomware n’est pas récupérée immédiatement, il y a donc toujours une fenêtre d’opportunité pour les défenseurs avant que la catastrophe ne frappe.

Le cheval de Troie a des voies d’attaque complexes et variées, chacune avec ses propres possibilités de détection, mais elles commencent toutes par l’arrivée d’un e-mail malveillant. C’est donc là qu’il faut faire le plus attention, en évitant d’ouvrir des pièces jointes ou de cliquer sur des liens intégrés.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.