Η FIN7, μια οργάνωση εγκλήματος στον κυβερνοχώρο με οικονομικά κίνητρα που εκτιμάται ότι έχει κλέψει πάνω από 1.2 δισεκατομμύρια δολάρια από την εμφάνιση της το 2012, βρίσκεται πίσω από την Black Basta, μια από τις πιο παραγωγικές οικογένειες ransomware φέτος.
Αυτό είναι το συμπέρασμα των ερευνητών στο SentinelOne με βάση τις ομοιότητες, όπως λένε, στις τακτικές, τις τεχνικές και τις διαδικασίες μεταξύ της καμπάνιας Black Basta και των προηγούμενων εκστρατειών FIN7. Μεταξύ αυτών είναι ομοιότητες σε ένα εργαλείο για την αποφυγή προϊόντων ανίχνευσης και απόκρισης τελικού σημείου (EDR). Ομοιότητες σε συσκευαστές για τη συσκευασία Cobalt Strike beacon και μια κερκόπορτα που ονομάζεται Birddog. επικαλύψεις πηγαίου κώδικα. και επικαλυπτόμενες διευθύνσεις IP και υποδομή φιλοξενίας.
Μια συλλογή από προσαρμοσμένα εργαλεία
Έρευνα SentinelOne στις δραστηριότητες του Black Basta ανακάλυψε επίσης νέες πληροφορίες σχετικά με τις μεθόδους και τα εργαλεία επίθεσης του ηθοποιού απειλής. Για παράδειγμα, οι ερευνητές διαπίστωσαν ότι σε πολλές επιθέσεις Black Basta, οι παράγοντες απειλής χρησιμοποιούν μια μοναδικά ασαφή έκδοση του δωρεάν εργαλείου γραμμής εντολών ADFind για τη συλλογή πληροφοριών σχετικά με το περιβάλλον Active Directory ενός θύματος.
Βρήκαν ότι οι χειριστές Black Basta εκμεταλλεύονται τα περσινά Εκτύπωση Nightmare ευπάθεια στην υπηρεσία Windows Print Spooler (CVE-2021-34527) Και η ZeroLogon ελάττωμα από το 2020 στο απομακρυσμένο πρωτόκολλο Windows Netlogon (CVE-2020-1472) σε πολλές καμπάνιες. Και τα δύο τρωτά σημεία δίνουν στους εισβολείς έναν τρόπο να αποκτήσουν πρόσβαση διαχειριστή στους ελεγκτές τομέα. Η SentinelOne είπε ότι παρατήρησε επίσης επιθέσεις Black Basta που αξιοποιούσαν το "NoPac", ένα εκμετάλλευση που συνδυάζει δύο κρίσιμα ελαττώματα σχεδιασμού Active Directory από πέρυσι (CVE-2021-42278 και CVE-2021-42287). Οι εισβολείς μπορούν να χρησιμοποιήσουν το exploit για να κλιμακώσουν τα δικαιώματα από αυτό ενός κανονικού χρήστη τομέα μέχρι τον διαχειριστή τομέα.
Η SentinelOne, η οποία άρχισε να παρακολουθεί το Black Basta τον Ιούνιο, παρατήρησε την αλυσίδα μόλυνσης που ξεκίνησε με το σταγονόμετρο Qakbot Trojan που μετατράπηκε σε κακόβουλο λογισμικό. Οι ερευνητές βρήκαν ότι ο παράγοντας απειλής χρησιμοποιεί την κερκόπορτα για να πραγματοποιήσει αναγνώριση στο δίκτυο του θύματος χρησιμοποιώντας μια ποικιλία εργαλείων, όπως το AdFind, δύο προσαρμοσμένες συναρμολογήσεις .Net, τον δικτυακό σαρωτή του SoftPerfect και το WMI. Μετά από αυτό το στάδιο ο παράγοντας απειλής επιχειρεί να εκμεταλλευτεί τα διάφορα τρωτά σημεία των Windows για να μετακινηθεί πλευρικά, να κλιμακώσει τα προνόμια και τελικά να απορρίψει το ransomware. Η Trend Micro νωρίτερα φέτος προσδιόρισε τον όμιλο Qakbot ως πώληση πρόσβασης σε παραβιασμένα δίκτυα σε Black Basta και άλλους χειριστές ransomware.
"Εκτιμούμε ότι είναι πολύ πιθανό η λειτουργία ransomware Black Basta να έχει δεσμούς με το FIN7", ανέφεραν οι SentinelLabs της SentinelOne σε μια ανάρτηση ιστολογίου στις 3 Νοεμβρίου. Το Defenses είναι, ή ήταν, προγραμματιστής για το FIN7."
Προηγμένη απειλή Ransomware
Η επιχείρηση ransomware Black Basta εμφανίστηκε τον Απρίλιο του 2022 και έχει προκαλέσει τουλάχιστον 90 θύματα μέχρι τα τέλη Σεπτεμβρίου. Η Trend Micro έχει περιγράψει το ransomware ως έχοντας μια εξελιγμένη ρουτίνα κρυπτογράφησης που πιθανότατα χρησιμοποιεί μοναδικά δυαδικά αρχεία για κάθε θύμα του. Πολλές από τις επιθέσεις του περιελάμβαναν μια τεχνική διπλού εκβιασμού, όπου οι φορείς της απειλής πρώτα διεισδύουν ευαίσθητα δεδομένα από ένα περιβάλλον θύματος πριν τα κρυπτογραφήσουν.
Κατά το τρίτο τρίμηνο του 2022, Οι μολύνσεις από ransomware Black Basta αντιπροσώπευαν το 9% από όλα τα θύματα ransomware, τοποθετώντας το στη δεύτερη θέση πίσω από το LockBit, το οποίο συνέχισε να είναι μακράν η πιο διαδεδομένη απειλή ransomware — με μερίδιο 35% όλων των θυμάτων, σύμφωνα με στοιχεία της Digital Shadows.
«Η Digital Shadows παρατήρησε τη λειτουργία ransomware Black Basta που στοχεύει τη βιομηχανία βιομηχανικών αγαθών και υπηρεσιών, συμπεριλαμβανομένης της κατασκευής, περισσότερο από οποιονδήποτε άλλο τομέα», λέει η Nicole Hoffman, ανώτερη αναλύτρια πληροφοριών κυβερνοαπειλών, στην Digital Shadows, μια εταιρεία ReliaQuest. «Ο τομέας των κατασκευών και των υλικών ακολουθεί πολύ πίσω ως η δεύτερη πιο στοχευμένη βιομηχανία μέχρι σήμερα από τη λειτουργία ransomware».
Το FIN7 είναι ένα αγκάθι στο πλευρό της βιομηχανίας ασφάλειας για μια δεκαετία. Οι αρχικές επιθέσεις της ομάδας επικεντρώθηκαν στην κλοπή δεδομένων πιστωτικών και χρεωστικών καρτών. Αλλά με τα χρόνια, το FIN7, το οποίο επίσης παρακολουθείται ως ο Όμιλος Carbanak και ο Όμιλος Cobalt, έχει διαφοροποιηθεί και σε άλλες επιχειρήσεις εγκλήματος στον κυβερνοχώρο, συμπεριλαμβανομένης της πιο πρόσφατης στον τομέα των ransomware. Αρκετοί προμηθευτές - συμπεριλαμβανομένων των Digital Shadows - έχουν υποψιαστεί ότι το FIN7 έχει συνδέσμους με πολλές ομάδες ransomware, συμπεριλαμβανομένων των REvil, Ryuk, DarkSide, BlackMatter και ALPHV.
«Επομένως, δεν θα ήταν έκπληξη να δούμε μια ακόμη πιθανή συσχέτιση», αυτή τη φορά με το FIN7, λέει ο Hoffman. «Ωστόσο, είναι σημαντικό να σημειωθεί ότι η σύνδεση δύο ομάδων απειλών δεν σημαίνει πάντα ότι μια ομάδα διευθύνει την εκπομπή. Είναι ρεαλιστικά πιθανό οι ομάδες να συνεργάζονται».
Σύμφωνα με το SentinelLabs, ορισμένα από τα εργαλεία που χρησιμοποιεί η επιχείρηση Black Basta στις επιθέσεις της υποδηλώνουν ότι το FIN7 προσπαθεί να αποσυνδέσει τη νέα του δραστηριότητα ransomware από την παλιά. Ένα τέτοιο εργαλείο είναι ένα προσαρμοσμένο εργαλείο άμυνας-αποφυγής και βλάβης που φαίνεται να έχει γραφτεί από έναν προγραμματιστή FIN7 και δεν έχει παρατηρηθεί σε καμία άλλη λειτουργία ransomware, είπε ο SentinelOne.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
