Black Basta ügyetlen támadása
A DFIR-Delight egy nemrégiben végzett incidensreakció-értékelés során a Black Basta nevű zsarolóvírus csoporttal való találkozás rávilágított a taktikájukra. Bár kezdetben sikerült hozzáférést szerezniük egy szerverrendszerhez, a korai észlelésnek köszönhetően rövid időn belül sikerült megfékezni és helyreállítani az incidenst. Ami érdekes, azok a tevékenységek, amelyeket a Black Basta végzett rövid jelenlétük alatt a megtámadott rendszerben. A forensics elemzés felbecsülhetetlen értékű betekintést nyújtott, köztük a kiváló minőségű IOC-kat, amelyeket nemrég publikáltunk. A forensics vizsgálatok eredményei mellett ez a cikk ismét megmutatja, hogy a létrehozott zsarolóprogram-csoportok gyakran nem elég kifinomultak, és védekezni lehet ellenük.
A kezdeti hozzáférés megszerzése után a Black Basta megkísérelt egy, a C2-infrastruktúrájukhoz visszahívó jeladót telepíteni. Mivel a szervernek nem volt közvetlen hozzáférése az internethez (a kimenő forgalom nagyon korlátozott volt), az üzemeltető pánikba esett. A következő egy órában a Black Basta üzemeltetője különböző módokon próbálta elérni a C2 infrastruktúrát, ezáltal felfedve a végrehajtott parancsokat, IP-címeket, valamint a C2 infrastruktúrához tartozó domaineket. A támadás hasonlóságot mutatott a TrendMicro által megfigyelt támadással.