FIN7, eine finanziell motivierte Cyberkriminalitätsorganisation, die seit ihrem Auftauchen im Jahr 1.2 Schätzungen zufolge weit über 2012 Milliarden US-Dollar gestohlen hat, steht hinter Black Basta, einer der produktivsten Ransomware-Familien dieses Jahres.
Zu diesem Schluss kommen die Forscher von SentinelOne, basierend auf den ihrer Meinung nach verschiedenen Ähnlichkeiten in den Taktiken, Techniken und Verfahren zwischen der Black Basta-Kampagne und früheren FIN7-Kampagnen. Darunter sind Ähnlichkeiten bei einem Tool zur Umgehung von Endpoint Detection and Response (EDR)-Produkten; Ähnlichkeiten bei Packern zum Packen von Cobalt Strike Beacon und einer Hintertür namens Birddog; Quellcode-Überschneidungen; und überlappende IP-Adressen und Hosting-Infrastruktur.
Eine Sammlung benutzerdefinierter Tools
SentinelOnes Untersuchung Die Untersuchung der Aktivitäten von Black Basta brachte auch neue Informationen über die Angriffsmethoden und -tools des Bedrohungsakteurs zutage. Die Forscher fanden beispielsweise heraus, dass die Bedrohungsakteure bei vielen Black Basta-Angriffen eine einzigartig verschleierte Version des kostenlosen Befehlszeilentools ADFind verwenden, um Informationen über die Active Directory-Umgebung eines Opfers zu sammeln.
Sie fanden heraus, dass die Black-Basta-Betreiber das Verhalten des letzten Jahres ausnutzten DruckenAlbtraum Sicherheitslücke im Windows-Druckspoolerdienst (CVE-2021-34527) und das ZeroLogon Fehler aus dem Jahr 2020 im Windows Netlogon Remote Protocol (CVE-2020-1472) in vielen Kampagnen. Beide Schwachstellen bieten Angreifern die Möglichkeit, administrativen Zugriff auf Domänencontroller zu erlangen. SentinelOne sagte, es habe auch Angriffe von Black Basta beobachtet, bei denen „NoPac“ ausgenutzt wurde, ein Exploit vereint zwei kritische Designfehler von Active Directory vom letzten Jahr (CVE-2021-42278 und CVE-2021-42287). Angreifer können den Exploit nutzen, um die Berechtigungen eines normalen Domänenbenutzers bis hin zum Domänenadministrator zu erweitern.
SentinelOne, das im Juni mit der Verfolgung von Black Basta begann, beobachtete die Infektionskette, die mit dem Qakbot-Trojaner begann, der sich in einen Malware-Dropper verwandelte. Die Forscher fanden heraus, dass der Bedrohungsakteur die Hintertür nutzte, um mithilfe verschiedener Tools, darunter AdFind, zwei benutzerdefinierte .Net-Assemblys, den Netzwerkscanner von SoftPerfect und WMI, das Netzwerk des Opfers auszukundschaften. Nach dieser Phase versucht der Bedrohungsakteur, die verschiedenen Windows-Schwachstellen auszunutzen, um seitlich vorzudringen, Berechtigungen zu erweitern und schließlich die Ransomware abzuwehren. Trend Micro identifizierte die Qakbot-Gruppe Anfang des Jahres als Verkauf des Zugangs zu kompromittierten Netzwerken an Black Basta und andere Ransomware-Betreiber.
„Wir halten es für sehr wahrscheinlich, dass die Ransomware-Operation Black Basta Verbindungen zu FIN7 hat“, sagte SentinelLabs von SentinelOne am 3. November in einem Blogbeitrag. „Darüber hinaus halten wir es für wahrscheinlich, dass der/die Entwickler hinter ihren Tools das Opfer schädigen.“ Defenses ist oder war ein Entwickler für FIN7.“
Ausgeklügelte Ransomware-Bedrohung
Die Ransomware-Operation Black Basta tauchte im April 2022 auf und forderte bis Ende September mindestens 90 Opfer. Trend Micro hat die Ransomware als beschrieben über eine ausgefeilte Verschlüsselungsroutine verfügen das wahrscheinlich für jedes seiner Opfer eindeutige Binärdateien verwendet. Bei vielen seiner Angriffe kam es zu einer doppelten Erpressungstechnik, bei der die Bedrohungsakteure zunächst sensible Daten aus der Umgebung des Opfers herausfiltern, bevor sie diese verschlüsseln.
Im dritten Quartal 2022 Black Basta-Ransomware-Infektionen machten 9 % aus Von allen Ransomware-Opfern belegt es den zweiten Platz hinter LockBit, das weiterhin die mit Abstand häufigste Ransomware-Bedrohung darstellt – mit einem Anteil von 35 % an allen Opfern, laut Daten von Digital Shadows.
„Digital Shadows hat die Black Basta-Ransomware-Operation häufiger als in jedem anderen Sektor beobachtet, die auf die Industriegüter- und Dienstleistungsbranche, einschließlich der Fertigung, abzielte“, sagt Nicole Hoffman, Senior Cyber-Threat Intelligence Analyst bei Digital Shadows, einem ReliaQuest-Unternehmen. „Dicht dahinter folgt der Bau- und Materialsektor, der bislang am zweithäufigsten von Ransomware-Angriffen betroffene Wirtschaftszweig.“
FIN7 ist der Sicherheitsbranche seit einem Jahrzehnt ein Dorn im Auge. Die ersten Angriffe der Gruppe konzentrierten sich auf den Diebstahl von Kredit- und Debitkartendaten. Aber im Laufe der Jahre hat sich FIN7, das auch als Carbanak Group und Cobalt Group bezeichnet wird, auch auf andere Cyberkriminalitätsoperationen ausgeweitet, zuletzt auch auf den Ransomware-Bereich. Mehrere Anbieter – darunter Digital Shadows – haben vermutet, dass FIN7 Verbindungen zu mehreren Ransomware-Gruppen hat, darunter REvil, Ryuk, DarkSide, BlackMatter und ALPHV.
„Es wäre also nicht verwunderlich, noch eine weitere potenzielle Verbindung zu sehen“, sagt Hoffman, dieses Mal mit FIN7. „Es ist jedoch wichtig zu beachten, dass die Verbindung zweier Bedrohungsgruppen nicht immer bedeutet, dass eine Gruppe das Sagen hat.“ Es ist durchaus möglich, dass die Gruppen zusammenarbeiten.“
Laut SentinelLabs deuten einige der Tools, die die Black Basta-Operation bei ihren Angriffen verwendet, darauf hin, dass FIN7 versucht, seine neue Ransomware-Aktivität von der alten zu trennen. Ein solches Tool ist ein benutzerdefiniertes Verteidigungs-Umgehungs- und Beeinträchtigungstool, das offenbar von einem FIN7-Entwickler geschrieben wurde und bei keinem anderen Ransomware-Vorgang beobachtet wurde, sagte SentinelOne.
