Ransomware Black Basta Berkembang Dengan Bom Email, Kode QR, dan Rekayasa Sosial

By Admin in Berita Keamanan Siber

Berita Keamanan Siber
Ransomware Black Basta telah diamati mengubah taktik rekayasa sosial mereka. Mereka mulai menyebarkan jenis malware lain seperti Zbot dan DarkGate sejak awal Oktober 2024.

 1. Taktik Rekayasa Sosial:

  • Email Bombing: Penyerang membanjiri kotak masuk korban dengan ribuan email, biasanya dengan mendaftarkan email korban ke banyak layanan mailing list secara bersamaan. Setelah itu, mereka menghubungi korban secara langsung.
  • Impersonasi IT di Microsoft Teams: Penyerang berpura-pura menjadi staf dukungan atau bagian IT perusahaan, lalu meminta korban untuk menginstal perangkat lunak remote seperti AnyDesk, TeamViewer, atau Quick Assist. Tujuannya adalah mendapatkan akses jarak jauh ke komputer korban.
 

2. Cara Kerja Serangan:

-          Setelah akses jarak jauh didapat, mereka menginstal malware tambahan, seperti program untuk mencuri kredensial (username dan password).  
-          Malware seperti Zbot (ZLoader) atau DarkGate digunakan untuk serangan lanjutan.  
-          Mereka juga mencoba mencuri file konfigurasi VPN dan melewati sistem keamanan tambahan seperti MFA (Multi-Factor Authentication).

 3. Teknik Serangan Lanjutan:

  • Penyerang menggunakan klien OpenSSH untuk membuat koneksi balik (reverse shell) ke komputer korban.  
  • Mereka mengirim kode QR berbahaya kepada korban, dengan alasan menambahkan perangkat tepercaya, tetapi sebenarnya untuk mencuri kredensial atau mengarahkan korban ke infrastruktur berbahaya.

 4. Malware Khusus Black Basta:

   Black Basta menggunakan berbagai jenis malware yang dirancang khusus, seperti:  

  •  KNOTWRAP: Memuat malware lain ke memori tanpa menyimpan file apa pun di disk.  
  •  KNOTROCK: Program berbasis .NET untuk menjalankan ransomware.  
  •  DAWNCRY: Malware lain yang hanya berjalan di memori.  
  • ORTYARD: Membuat koneksi ke server kendali menggunakan protokol khusus.  
  • COGSCAN: Alat untuk memindai komputer lain dalam jaringan.

 
5. Perkembangan Taktik Black Basta:

Kelompok ini awalnya mengandalkan botnet seperti QakBot untuk menyerang, tetapi kini beralih ke taktik rekayasa sosial. Mereka menggabungkan metode ini dengan malware untuk mencapai tujuannya.


6. Serangan Lain yang Terkait:

  • Ransomware Akira: Varian baru yang ditulis dengan bahasa pemrograman Rust.  
  • Ransomware Rhysida: Menyamar sebagai installer perangkat lunak populer seperti Microsoft Teams atau Google Chrome melalui situs palsu. Teknik ini menggunakan SEO poisoning, membuat situs palsu muncul di hasil pencarian teratas.
 

Aktor ransomware seperti Black Basta semakin canggih dengan menggabungkan rekayasa sosial dan malware untuk menyerang korban. Mereka menggunakan cara manipulatif untuk mendapatkan akses ke data penting, yang bisa mengakibatkan pencurian data atau kerugian finansial besar bagi individu dan organisasi. 
Back to Posts