По словам исследователей из Cybereason Йоакима Кандефельта и Даниэля Франкеля, в ходе своей последней вредоносной кампании Black Basta использовала вредоноса QakBot для создания начальной точки входа и перемещения в сети организации. Специалисты заметили, что злоумышленники отказались от Brute Ratel, вместо этого используя Qakbot для заражения нескольких компьютеров фреймворка Cobalt Strike.
По словам исследователей, цепочка атак началась с фишингового письма, содержащего вредоносный IMG-файл, который при открытии запускает выполнение Qbot, который, в свою очередь, подключается к удаленному серверу для получения полезной нагрузки Cobalt Strike.
На этом этапе злоумышленники собирают учетные данные и осуществляют боковое перемещение в сети жертвы, чтобы разместить Cobalt Strike на нескольких серверах и затем взломать как можно больше конечных точек, используя собранные пароли, и запустить свое вымогательское ПО.
Исследователи отмечают, что в некоторых случая хакерам удавалось получить привилегии администратора домена менее чем за два часа и перейти к развертыванию вымогательского ПО менее чем за 12 часов. Известно, что в ходе раскрытой вредоносной кампании от Black Basta пострадали более 10 различных кампаний.
В двух случаях, обнаруженных Cybereason, хакеры развертывали не только вымогательское ПО, но и блокировали доступ жертв к своим сетям, отключая DNS, чтобы восстановить данные было еще сложнее.