Geng ransomware Black Basta telah bermitra dengan operasi malware QBot untuk mendapatkan akses awal ke lingkungan perusahaan.
QBot (QuakBot) adalah malware Windows yang mencuri kredensial bank, kredensial domain Windows, dan mengirimkan muatan malware lebih lanjut pada perangkat yang terinfeksi.
Korban biasanya terinfeksi Qbot melalui serangan phishing dengan lampiran berbahaya. Meskipun dimulai sebagai trojan perbankan, ia telah memiliki banyak kolaborasi dengan geng ransomware lain, termasuk MegaCortex, ProLock, DoppelPaymer, dan Egregor.
Black Basta adalah operasi ransomware yang relatif baru yang dimulai dengan mengesankan, melanggar banyak perusahaan dalam waktu yang relatif singkat sambil menuntut pembayaran uang tebusan yang besar.
Analis di NCC Group menemukan kemitraan baru antara Qakbot dan Black Basta selama incident response baru-baru ini di mana mereka dapat mengidentifikasi teknik yang digunakan oleh aktor ancaman.
Sementara geng ransomware biasanya menggunakan QBot untuk akses awal, NCC mengatakan bahwa geng Black Basta menggunakannya untuk menyebar secara lateral ke seluruh jaringan.
Malware dari jarak jauh akan membuat layanan sementara pada host target dan mengonfigurasinya untuk menjalankan DLL-nya menggunakan regsvr32.exe.
Setelah Qakbot aktif dan berjalan, ia dapat menginfeksi berbagi jaringan dan drive, memaksa akun AD, atau menggunakan protokol berbagi file SMB (Server Message Block) untuk membuat salinannya sendiri atau menyebar melalui default admin shares menggunakan kredensial pengguna saat ini.
NCC menyatakan bahwa pelaku ancaman juga menonaktifkan Windows Defender untuk menghindari deteksi dan meminimalkan kemungkinan membahayakan keberhasilan langkah enkripsi.
Selengkapnya: Bleeping Computer