Шифровальщик Black Basta нанял поводыря — самоходку QBot
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Шифровальщик Black Basta нанял поводыря — самоходку QBot

Татьяна Никитина 07 Июня 2022 - 19:50
...
Шифровальщик Black Basta нанял поводыря — самоходку QBot

Разбор недавней атаки на клиента NCC Group выявил новое криминальное партнерство. Операторы шифровальщика Black Basta начали использовать QBot для входа в корпоративные сети и внедрения своего вредоноса на все доступные Windows-машины.

Троян QBot (также Quakbot, QakBot и Pinkslipbot) уже почти 15 лет ворует ключи к банковским счетам, Windows-доменам и доставляет других зловредов, в том числе шифровальщиков. Многофункциональные боты распространяются через вложения в спам-письма и умеют самостоятельно путешествовать по сетям жертв заражения.

Операторы шифровальщиков обычно используют QBot для получения первичного доступа к целевой сети. В данном случае Black Basta с его помощью смог проникнуть на многие компьютеры организации, в том числе на серверы Hyper-V и контроллеры домена.

При этом непрошеные гости продвигались по сети следующим образом:

  1. Создали в папке C:\Windows\ взломанной системы файл PsExec.exe (с облегченным аналогом Telnet от Microsoft).
  2. На целевых хостах средствами QBot удаленно запускали временную службу, обеспечивающую исполнение его DLL с помощью regsvr32.exe.
  3. Устанавливали соединение с удаленными узлами по RDP.

Получив доступ к серверу Hyper-V, злоумышленники изменяли настройки заданий Veeam и удаляли все резервные копии виртуальных машин. Чтобы обеспечить себе постоянное присутствие, авторы атаки использовали тулкит Cobalt Strike, а для защиты от обнаружения отключали Microsoft Defender — с помощью PowerShell-команд (локально загружали bat-файл на хост) или путем изменения групповых политик Active Directory.

На двух взломанных серверах в папке Windows был обнаружен файл pc_list.txt с внутренними IP-адресами всех систем в сети жертвы. А на одном из контроллеров домена исследователи нашли скрипт для удаленной загрузки и запуска файлов через WMI. По всей видимости, в рамках атаки его использовали для засева шифровальщика по ранее собранным IP-адресам.

Поведение самого Black Basta не изменилось; перед шифрованием он удалял теневые копии Windows, чтобы жертва не могла самостоятельно вернуть файлы, менял обои рабочего стола, шифровал данные, используя ChaCha20 и RSA, и генерировал ID жертвы для записки с требованием выкупа.

Следующая главная новость »
AM LiveЧем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

МАКС оказался бесполезен для малого бизнеса
Яков Шпунт 24 Апреля 2026 - 10:03
Малый и средний бизнес
МАКС оказался бесполезен для малого бизнеса

Российский мессенджер оказался малополезен для малого бизнеса из-за отсутствия интеграций с системами автоматизации бизнес-процессов и блокировки массовых оповещений. В качестве альтернативы предприниматели используют голосовые обзвоны, СМС-рассылки и электронную почту.

К таким выводам пришли авторы издания «Фонтанка», опросив представителей малого бизнеса из Санкт-Петербурга, в основном из сферы услуг.

По словам президента Ассоциации предприятий индустрии красоты (АПИК) и собственницы сети салонов красоты «Лаки Лайк» Ляли Садыковой, около 70% коммуникаций перешло на голосовые звонки и СМС.

Как отметила глава АПИК, раньше основным каналом связи был WhatsApp (принадлежит признанной в России экстремистской и запрещённой корпорации Meta). Это объяснялось тем, что большинство CRM-систем для автоматизации работы с клиентами поддерживали интеграцию с мессенджером «из коробки» и без дополнительной платы. Telegram в этом отношении менее удобен, однако его использовали для связи с администраторами.

Значительную долю новых клиентов по-прежнему удаётся привлекать через Instagram (принадлежит признанной в России экстремистской и запрещённой корпорации Meta). Также достаточно эффективными оказались сервисы Яндекса. Некоторые из опрошенных салонов используют VK. Кроме того, бизнес всё чаще обращается к менее известным платформам, в том числе азиатского происхождения.

МАКС, напротив, оказался для многих просто бесполезен. По словам участников рынка, аккаунт салона могут заблокировать после любой попытки сделать рассылку. Процесс разблокировки при этом долгий: есть примеры, когда доступ не удаётся восстановить больше месяца. Кроме того, на МАКС перешли не более 23% клиентов салонов, ещё 7% установили приложение, но практически им не пользуются.

Впрочем, частные клиники начинают применять МАКС наряду с другими платформами. Так, в клинике «Абиа» отметили, что их клиенты используют российский мессенджер довольно активно.

AM LiveЧем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!
Разработчики системы Leonardo нарушили закон о защите КИИ
Новость
Разработчики системы Leonardo нарушили закон о защите КИИ
Студент обзавелся новым телефоном за счет мошенников
Новость
Студент обзавелся новым телефоном за счет мошенников
Telegram в России внезапно ожил, но радоваться пока рано
Новость
Telegram в России внезапно ожил, но радоваться пока рано

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.