自2024年10月初以来，与Black Basta勒索软件相关的威胁行为者已被观察到更换了他们的社会工程学战术，并分发了一系列不同的有效载荷，如Zbot和DarkGate。

　　Rapid7表示：“目标环境中的用户将遭受威胁行为者的邮件轰炸，这通常是通过同时将用户的电子邮件注册到多个邮件列表中来实现的。邮件轰炸之后，威胁行为者将联系受影响的用户。”

　　早在8月就曾观察到，攻击者通过Microsoft Teams与潜在目标进行初步接触，伪装成组织的支持人员或IT员工。在某些情况下，他们还被发现冒充目标组织内的IT工作人员。

　　与威胁行为者进行互动的用户被诱导安装合法的远程访问软件，如AnyDesk、ScreenConnect、TeamViewer和微软的Quick Assist。微软正在追踪一个名为Storm-1811的网络犯罪集团，该集团滥用Quick Assist来部署Black Basta。Rapid7还检测到勒索软件团队试图利用OpenSSH客户端建立反向shell，并通过聊天向受害用户发送恶意二维码，以添加可信移动设备为借口窃取其凭据。

　　然而，同样报道了此次活动的网络安全公司ReliaQuest推测，这些二维码被用于引导用户访问更多的恶意基础设施。

　　通过安装AnyDesk(或其等效软件)实现的远程访问随后被用于向受感染的主机交付额外的有效载荷，包括一个自定义的凭据收集程序，随后执行Zbot(又称ZLoader)或DarkGate，这两者都可以作为后续攻击的入口。

　　Rapid7安全研究员Tyler McGraw表示：“在获得初步访问权限后，总体目标似乎保持不变：即快速枚举环境并转储用户的凭据。”

　　“如果可能，操作员仍然会尝试窃取任何可用的VPN配置文件。有了用户的凭据、组织的VPN信息以及可能的多因素认证(MFA)绕过手段，他们就可以直接对目标环境进行身份验证。”

　　Black Basta在2022年Conti关闭后，从后者的灰烬中崛起成为一个自治团体，最初依赖QakBot渗透目标，随后转向使用社会工程学技术。这个也被称为UNC4393的威胁行为者自那以后使用了各种定制的恶意软件家族来实现其目标，包括：

　　KNOTWRAP：一个用C/C++编写的仅内存型释放器，可以在内存中执行额外的有效载荷。

　　KNOTROCK：一个基于.NET的实用程序，用于执行勒索软件。

　　DAWNCRY：一个仅内存型释放器，使用硬编码密钥将嵌入的资源解密到内存中。

　　PORTYARD：一个隧道器，使用自定义二进制协议通过TCP与硬编码的命令和控制(C2)服务器建立连接。

　　COGSCAN：一个.NET侦察程序集，用于收集网络上可用的主机列表。

　　RedSense的Yelisey Bohuslavskiy表示：“Black Basta在恶意软件传播方面的演变显示出从完全依赖僵尸网络的方法向融合了社会工程学的混合模型的奇特转变。”

　　Check Point在分析Akira勒索软件的一个更新的Rust变种时详细披露了这一点，并强调了恶意软件作者依赖于与第三方库和板条箱(如indicatif、rust-crypto和seahorse)相关的现成样板代码。

　　勒索软件攻击还使用了Mimic勒索软件的一个变种，名为Elpaco，而Rhysida感染也使用了CleanUpLoader来辅助数据外泄和持久性。这种恶意软件通常伪装成流行软件的安装程序，如Microsoft Teams和Google Chrome。

　　Recorded Future表示：“通过创建与流行软件下载站点相似的拼写错误域名，Rhysida诱骗用户下载受感染的文件。当这种技术与搜索引擎中毒相结合时，这些域名在搜索引擎结果中的排名会更高，使它们看起来像是合法的下载来源，因此这种技术特别有效。”