Kelompok ransomware Black Basta telah menunjukkan ketahanan dan kemampuan untuk beradaptasi di ruang yang terus berubah, menggunakan alat dan taktik khusus baru untuk menghindari deteksi dan penyebaran ke seluruh jaringan.
Black Basta adalah operator ransomware yang telah aktif sejak April 2022 dan bertanggung jawab atas lebih dari 500 serangan yang berhasil terhadap perusahaan di seluruh dunia.
Kelompok ransomware ini menggunakan strategi pemerasan ganda, menggabungkan pencurian data dan enkripsi, serta menuntut pembayaran tebusan dalam jumlah besar hingga jutaan dolar. Geng ransomware ini sebelumnya bermitra dengan botnet QBot untuk mendapatkan akses awal ke jaringan perusahaan.
Namun, setelah Botnet QBot diganggu oleh penegakan hukumMandiant melaporkan bahwa komplotan ransomware itu harus menciptakan kemitraan baru untuk membobol jaringan perusahaan.
Selain itu, Mandiant, yang melacak aktor ancaman sebagai UNC4393, telah mengidentifikasi malware dan alat baru yang digunakan dalam intrusi Black Basta, yang menunjukkan evolusi dan ketahanan.
Kelompok ransomware Black Basta sejauh ini telah aktif selama setahun terakhir, dan telah menyerang beberapa entitas terkenal seperti Veolia Amerika UtaraBahasa Indonesia: Hyundai Motor EropaDan kunci elektronik.
Kecanggihan kelompok ancaman tercermin dalam fakta bahwa mereka sering memiliki akses ke eksploitasi kerentanan zero-day, termasuk peningkatan hak istimewa Windows (Tahun 2024-26169) dan kelemahan bypass otentikasi VMware ESXi (CVE-2024-37085).
Taktik dan alat Black Basta baru
Setelah FBI dan DOJ menutup infrastruktur QBot pada akhir tahun 2023, Black Basta beralih ke kluster distribusi akses awal lainnya, terutama yang menyediakan Gerbang Gelap perangkat lunak jahat.
Kemudian, Black Basta beralih menggunakan Malam yang sunyimalware backdoor serbaguna yang dikirimkan melalui malvertising, menandai peralihan dari phishing sebagai metode utama untuk akses awal.
Laporan Mandiant bahwa Black Basta secara bertahap telah beralih dari penggunaan alat yang tersedia untuk umum ke malware khusus yang dikembangkan secara internal.
Sumber: Mandat
Pada awal tahun 2024, UNC4393 diamati menggunakan dropper khusus memori bernama FajarMenangisPenetes ini memulai infeksi multi-tahap, diikuti oleh DaveShell, yang pada akhirnya mengarah ke Halaman Pelabuhan terowongan.
PortYard, juga merupakan alat khusus, membuat koneksi ke infrastruktur perintah dan kontrol (C2) Black Basta serta lalu lintas proxy.
Alat khusus lain yang penting yang digunakan oleh Black Basta dalam operasi baru-baru ini adalah:
- Pemindaian Gigi: Alat pengintaian .NET yang digunakan untuk mengumpulkan daftar host yang tersedia di jaringan dan mengumpulkan informasi sistem.
- SistemBC: Sebuah tunneler yang mengambil perintah terkait proxy dari server C2 menggunakan protokol biner kustom melalui TCP.
- KetukanTrock: Utilitas berbasis .NET yang membuat tautan simbolis pada berbagi jaringan dan mengeksekusi program ransomware BASTA, serta menyediakan jalur ke tautan simbolis yang baru dibuat.
- TahuPerangkap: Dropper khusus memori yang ditulis dalam C/C++ yang dapat mengeksekusi muatan tambahan dalam memori.
Dikombinasikan dengan hal di atas, Black Basta terus menggunakan biner “hidup di alam” dan alat yang tersedia secara umum dalam serangan terbarunya, termasuk utilitas baris perintah Windows certutil untuk mengunduh SilentNight dan alat Rclone untuk mencuri data.
Secara keseluruhan, Black Basta tetap menjadi ancaman global yang signifikan dan salah satu pemain teratas dalam bidang ransomware.
