FIN7 ، منظمة جرائم الإنترنت ذات الدوافع المالية والتي يُقدر أنها سرقت أكثر من 1.2 مليار دولار منذ ظهورها في عام 2012 ، هي وراء Black Basta ، واحدة من أكثر عائلات برامج الفدية هذا العام.
هذا هو استنتاج الباحثين في SentinelOne استنادًا إلى ما يقولون إنها أوجه تشابه مختلفة في التكتيكات والتقنيات والإجراءات بين حملة Black Basta وحملات FIN7 السابقة. من بينها أوجه التشابه في أداة للتهرب من منتجات اكتشاف نقطة النهاية والاستجابة (EDR) ؛ أوجه التشابه في آلات التعبئة لتعبئة منارة Cobalt Strike وباب خلفي يسمى Birddog ؛ تتداخل شفرة المصدر ؛ وعناوين IP المتداخلة والبنية التحتية للاستضافة.
مجموعة من الأدوات المخصصة
تحقيق SentinelOne كشفت أنشطة Black Basta أيضًا عن معلومات جديدة حول أساليب وأدوات هجوم الفاعل. على سبيل المثال ، وجد الباحثون أنه في العديد من هجمات Black Basta ، يستخدم المهاجمون نسخة مبهمة بشكل فريد من أداة سطر الأوامر المجانية ADFind لجمع المعلومات حول بيئة الدليل النشط للضحية.
وجدوا أن مشغلي Black Basta يستغلون العام الماضي طباعة كابوس ثغرة أمنية في خدمة Windows Print Spooler (CVE-2021-34527) و ZeroLogon عيب من 2020 في Windows Netlogon Remote Protocol (CVE-2020-1472) في العديد من الحملات. توفر كلتا الثغرات الأمنية للمهاجمين طريقة للحصول على وصول إداري على وحدات التحكم بالمجال. قال SentinelOne إنه لاحظ أيضًا أن هجمات Black Basta تستفيد من "NoPac" ، وهو استغلال يجمع بين عيبين هامين في تصميم Active Directory منذ السنة الماضية (CVE-2021-42278 و CVE-2021-42287). يمكن للمهاجمين استخدام الاستغلال لتصعيد الامتيازات من مستخدم المجال العادي وصولاً إلى مسؤول المجال.
لاحظ SentinelOne ، الذي بدأ في تعقب Black Basta في يونيو ، أن سلسلة العدوى تبدأ بقطارة Qakbot Trojan التي تحولت إلى برنامج ضار. وجد الباحثون أن المهاجم يستخدم الباب الخلفي لإجراء الاستطلاع على شبكة الضحايا باستخدام مجموعة متنوعة من الأدوات بما في ذلك AdFind ، واثنين من تجميعات الشبكة المخصصة ، وماسح شبكة SoftPerfect ، و WMI. بعد هذه المرحلة ، يحاول ممثل التهديد استغلال العديد من نقاط الضعف في Windows للتحرك بشكل جانبي ، وتصعيد الامتيازات ، وإسقاط برنامج الفدية في النهاية. حددت تريند مايكرو في وقت سابق من هذا العام مجموعة Qakbot بأنها بيع الوصول إلى الشبكات المخترقة إلى Black Basta ومشغلي برامج الفدية الأخرى.
قال SentinelLabs من SentinelOne في منشور مدونة بتاريخ 7 نوفمبر: "إننا نقدر أنه من المحتمل جدًا أن يكون لعملية Black Basta ransomware علاقات مع FIN3". الدفاعات هي أو كانت مطورًا لـ FIN7 ".
تهديد برامج الفدية المتطورة
ظهرت عملية Black Basta ransomware في أبريل 2022 وأودت بحياة 90 ضحية على الأقل حتى نهاية سبتمبر. وصفت شركة Trend Micro برنامج الفدية بأنه وجود روتين تشفير متطور من المحتمل أن تستخدم ثنائيات فريدة لكل من ضحاياه. اشتملت العديد من هجماتها على أسلوب ابتزاز مزدوج حيث يقوم المهاجمون أولاً بسحب البيانات الحساسة من بيئة الضحية قبل تشفيرها.
في الربع الثالث من عام 2022 ، شكلت الإصابات ببرنامج الفدية Black Basta 9٪ من بين جميع ضحايا برامج الفدية ، ووضعها في المرتبة الثانية بعد LockBit ، والتي استمرت إلى حد بعيد في كونها التهديد الأكثر انتشارًا لبرامج الفدية - بنسبة 35٪ من جميع الضحايا ، وفقًا لبيانات من Digital Shadows.
تقول نيكول هوفمان ، كبيرة محللي استخبارات التهديدات الإلكترونية ، في شركة Digital Shadows ، وهي شركة ReliaQuest: "لاحظت شركة Digital Shadows عملية Black Basta ransomware التي تستهدف صناعة السلع والخدمات الصناعية ، بما في ذلك التصنيع ، أكثر من أي قطاع آخر". "يأتي قطاع البناء والمواد في المرتبة الثانية بعد الصناعة الأكثر استهدافًا حتى الآن من خلال عملية برامج الفدية الضارة."
لقد كانت FIN7 شوكة في جانب صناعة الأمن لمدة عقد من الزمان. ركزت هجمات المجموعة الأولية على سرقة بيانات بطاقات الائتمان والخصم. ولكن على مر السنين ، قامت FIN7 ، التي تم تتبعها أيضًا باسم Carbanak Group و Cobalt Group ، بالتنويع في عمليات جرائم الإنترنت الأخرى أيضًا ، بما في ذلك مؤخرًا في مجال برامج الفدية. اشتبه العديد من البائعين - بما في ذلك Digital Shadows - في أن FIN7 لها روابط لمجموعات برامج الفدية المتعددة ، بما في ذلك REvil و Ryuk و DarkSide و BlackMatter و ALPHV.
يقول هوفمان: "لذلك ، لن يكون مفاجئًا أن نرى ارتباطًا محتملاً آخر" هذه المرة مع FIN7. ومع ذلك ، من المهم ملاحظة أن ربط مجموعتين من مجموعات التهديد معًا لا يعني دائمًا أن مجموعة واحدة تدير العرض. من الممكن بشكل واقعي أن تعمل المجموعات معًا ".
وفقًا لـ SentinelLabs ، تشير بعض الأدوات التي تستخدمها عملية Black Basta في هجماتها إلى أن FIN7 تحاول فصل نشاط برنامج الفدية الجديد عن القديم. قال SentinelOne إن إحدى هذه الأدوات هي أداة مخصصة للتهرب من الدفاع والإعاقة والتي يبدو أنها كتبها مطور FIN7 ولم يتم ملاحظتها في أي عملية أخرى لبرامج الفدية.
