FIN7, en økonomisk motiveret cyberkriminalitetsorganisation, der anslås at have stjålet langt over 1.2 milliarder dollars siden dukkede op i 2012, står bag Black Basta, en af dette års mest produktive ransomware-familier.
Det er konklusionen fra forskere ved SentinelOne baseret på, hvad de siger, er forskellige ligheder i taktikken, teknikkerne og procedurerne mellem Black Basta-kampagnen og tidligere FIN7-kampagner. Blandt dem er ligheder i et værktøj til at undgå endpoint detection and response (EDR) produkter; ligheder i pakkere til pakning af Cobalt Strike beacon og en bagdør kaldet Birddog; kildekode overlapper; og overlappende IP-adresser og hosting-infrastruktur.
En samling af brugerdefinerede værktøjer
SentinelOnes undersøgelse ind i Black Bastas aktiviteter afslørede også nye oplysninger om trusselsaktørens angrebsmetoder og værktøjer. For eksempel fandt forskerne ud af, at trusselsaktørerne i mange Black Basta-angreb bruger en unikt sløret version af det gratis kommandolinjeværktøj ADFind til at indsamle information om et offers Active Directory-miljø.
De fandt ud af, at Black Basta-operatører udnytter sidste års Udskriv Nightmare sårbarhed i Windows Print Spooler-tjeneste (CVE-2021-34527) og ZeroLogon fejl fra 2020 i Windows Netlogon Remote Protocol (CVE-2020-1472) i mange kampagner. Begge sårbarheder giver angribere en måde at få administrativ adgang på domænecontrollere. SentinelOne sagde, at det også observerede Black Basta-angreb, der udnyttede "NoPac", en udnyttelse kombinerer to kritiske Active Directory-designfejl fra sidste år (CVE-2021-42278 , CVE-2021-42287). Angribere kan bruge udnyttelsen til at eskalere privilegier fra en almindelig domænebrugers og hele vejen til domæneadministrator.
SentinelOne, som begyndte at spore Black Basta i juni, observerede infektionskæden, der begyndte med Qakbot Trojan-omdannet-malware-dropper. Forskere fandt ud af, at trusselsaktøren brugte bagdøren til at udføre rekognoscering på ofrets netværk ved hjælp af en række værktøjer, herunder AdFind, to tilpassede .Net-samlinger, SoftPerfects netværksscanner og WMI. Det er efter det trin, at trusselsaktøren forsøger at udnytte de forskellige Windows-sårbarheder til at bevæge sig sideværts, eskalere privilegier og til sidst droppe ransomwaren. Trend Micro identificerede tidligere i år Qakbot-gruppen som sælge adgang til kompromitterede netværk til Black Basta og andre ransomware-operatører.
"Vi vurderer, at det er højst sandsynligt, at Black Basta ransomware-operationen har bånd med FIN7," sagde SentinelOnes SentinelLabs i et blogindlæg den 3. november. forsvar er, eller var, en udvikler til FIN7."
Sofistikeret Ransomware-trussel
Black Basta-ransomware-operationen dukkede op i april 2022 og har krævet mindst 90 ofre frem til slutningen af september. Trend Micro har beskrevet ransomwaren som have en sofistikeret krypteringsrutine der sandsynligvis bruger unikke binære filer til hvert af dets ofre. Mange af dets angreb har involveret en dobbelt-afpresningsteknik, hvor trusselsaktørerne først eksfiltrerer følsomme data fra et offermiljø, før de krypterer dem.
I tredje kvartal af 2022 Black Basta ransomware-infektioner tegnede sig for 9 % af alle ransomware-ofre, hvilket placerede den på andenpladsen bag LockBit, som fortsatte med at være langt den mest udbredte ransomware-trussel - med en andel på 35% af alle ofre, ifølge data fra Digital Shadows.
"Digital Shadows har observeret Black Basta-ransomware-operationen rettet mod industrivare- og serviceindustrien, inklusive fremstilling, mere end nogen anden sektor," siger Nicole Hoffman, senior cybertrussel-intelligensanalytiker hos Digital Shadows, en ReliaQuest-virksomhed. "Bygnings- og materialesektoren følger tæt efter som den næstmest målrettede industri til dato af ransomware-operationen."
FIN7 har været en torn i øjet på sikkerhedsbranchen i et årti. Gruppens indledende angreb fokuserede på kredit- og betalingskortdatatyveri. Men gennem årene har FIN7, som også er blevet sporet som Carbanak Group og Cobalt Group, også diversificeret til andre cyberkriminalitetsoperationer, herunder senest til ransomware-området. Flere leverandører - inklusive Digital Shadows - har mistænkt FIN7 for at have links til flere ransomware-grupper, herunder REvil, Ryuk, DarkSide, BlackMatter og ALPHV.
"Så det ville ikke være overraskende at se endnu en potentiel forening," denne gang med FIN7, siger Hoffman. "Det er dog vigtigt at bemærke, at det at forbinde to trusselsgrupper ikke altid betyder, at en gruppe kører showet. Det er realistisk muligt, at grupperne arbejder sammen."
Ifølge SentinelLabs tyder nogle af de værktøjer, som Black Basta-operationen bruger i sine angreb på, at FIN7 forsøger at adskille sin nye ransomware-aktivitet fra den gamle. Et sådant værktøj er et brugerdefineret forsvar-unddragelses- og værdiforringelsesværktøj, der ser ud til at være skrevet af en FIN7-udvikler og ikke er blevet observeret i nogen anden ransomware-operation, sagde SentinelOne.
