Ransomware Black Basta và Cactus: Sự Chồng Chéo và Suy Giảm

08/03/2025
2 mins read

Bài viết từ Trend Micro thảo luận về mối liên hệ giữa các băng nhóm ransomware Black Basta và Cactus, đặc biệt nhấn mạnh về việc sử dụng module BackConnect (BC) để duy trì quyền kiểm soát liên tục đối với các máy chủ bị nhiễm.

Nội dung
1. Module BackConnect:
2. Chiến Thuật Chung:
3. Sự Chồng Chéo Hoạt Động:
4. Sự Chuyển Giao Thành Viên:
5. Luồng Tấn Công:
6. Xung Đột Nội Bộ và Suy Giảm:

1. Module BackConnect:

Module BackConnect là một công cụ proxy được sử dụng bởi cả băng nhóm Black Basta và Cactus nhằm truy cập từ xa vào các máy chủ bị xâm phạm. Nó cho phép tội phạm mạng tạo đường hầm lưu lượng, che giấu hoạt động của họ và tăng cường các cuộc tấn công trong môi trường của nạn nhân mà không bị phát hiện.

2. Chiến Thuật Chung:

Cả hai nhóm đều sử dụng các cuộc tấn công kỹ thuật xã hội giống nhau, chẳng hạn như gửi đến các mục tiêu một số lượng lớn email và sau đó liên lạc với họ qua Microsoft Teams, giả mạo là nhân viên hỗ trợ CNTT. Chiến thuật này thường liên quan đến Black Basta nhưng cũng đã được quan sát thấy trong các cuộc tấn công ransomware Cactus.

3. Sự Chồng Chéo Hoạt Động:

Việc sử dụng BackConnect và các chiến thuật tương tự cho thấy có thể có sự chồng chéo về thành viên giữa hai nhóm. Điều này càng được hỗ trợ bởi thực tế rằng ransomware Cactus đã được phát hiện sử dụng các máy chủ chỉ huy và kiểm soát thường liên quan đến Black Basta.

4. Sự Chuyển Giao Thành Viên:

Có bằng chứng cho thấy các thành viên của nhóm ransomware Black Basta đã chuyển sang nhóm ransomware Cactus. Kết luận này được rút ra từ phân tích các chiến thuật, kỹ thuật và quy trình (TTP) tương tự đang được nhóm Cactus sử dụng.

5. Luồng Tấn Công:

Luồng tấn công của cả hai nhóm bao gồm việc đạt được quyền truy cập ban đầu thông qua kỹ thuật xã hội, thường sử dụng Qakbot hoặc phần mềm độc hại khác. Sau khi vào trong, họ sử dụng các công cụ như BackConnect để duy trì kiểm soát và thực hiện các cuộc tấn công tiếp theo, bao gồm cả việc xuất dữ liệu và mã hóa.

6. Xung Đột Nội Bộ và Suy Giảm:

Nhóm ransomware Black Basta đang trải qua các xung đột nội bộ, dẫn đến việc rò rỉ hàng loạt tin nhắn trò chuyện nội bộ của họ. Sự rò rỉ này đã phơi bày cách thức hoạt động và cấu trúc tổ chức của nhóm, có thể góp phần vào sự suy giảm của họ.

Những phát hiện này nhấn mạnh tính chất phát triển của các mối đe dọa mạng và khả năng có sự chồng chéo giữa các băng nhóm ransomware khác nhau, nhấn mạnh sự cần thiết của việc thu thập thông tin tình báo mối đe dọa liên tục và các biện pháp bảo mật mạnh mẽ.