FIN7, una organización de cibercrimen con motivación financiera que se estima que ha robado más de 1.2 millones de dólares desde su aparición en 2012, está detrás de Black Basta, una de las familias de ransomware más prolíficas de este año.
Esa es la conclusión de los investigadores de SentinelOne basándose en lo que dicen que son varias similitudes en las tácticas, técnicas y procedimientos entre la campaña Black Basta y las campañas anteriores de FIN7. Entre ellos se encuentran similitudes en una herramienta para evadir productos de respuesta y detección de puntos finales (EDR); similitudes en los empacadores para empacar la baliza Cobalt Strike y una puerta trasera llamada Birddog; el código fuente se superpone; y superposición de direcciones IP e infraestructura de alojamiento.
Una colección de herramientas personalizadas
La investigación de SentinelOne Las investigaciones sobre las actividades de Black Basta también descubrieron nueva información sobre los métodos y herramientas de ataque del actor de amenazas. Por ejemplo, los investigadores descubrieron que en muchos ataques de Black Basta, los actores de amenazas utilizan una versión singularmente ofuscada de la herramienta gratuita de línea de comandos ADFind para recopilar información sobre el entorno Active Directory de una víctima.
Descubrieron que los operadores de Black Basta están explotando el año pasado Imprimir Pesadilla vulnerabilidad en el servicio de cola de impresión de Windows (CVE-2021-34527) y el inicio de sesión cero falla de 2020 en el protocolo remoto Netlogon de Windows (CVE-2020-1472) en muchas campañas. Ambas vulnerabilidades brindan a los atacantes una forma de obtener acceso administrativo a los controladores de dominio. SentinelOne dijo que también observó ataques de Black Basta aprovechando "NoPac", un exploit que combina dos defectos críticos de diseño de Active Directory del año pasado (CVE-2021-42278 y CVE-2021-42287). Los atacantes pueden utilizar el exploit para escalar privilegios desde los de un usuario de dominio normal hasta los de administrador de dominio.
SentinelOne, que comenzó a rastrear a Black Basta en junio, observó la cadena de infección que comenzó con el troyano Qakbot convertido en malware. Los investigadores descubrieron que el actor de la amenaza utilizaba la puerta trasera para realizar un reconocimiento en la red de la víctima utilizando una variedad de herramientas que incluyen AdFind, dos ensamblajes .Net personalizados, el escáner de red de SoftPerfect y WMI. Es después de esa etapa que el actor de la amenaza intenta explotar las diversas vulnerabilidades de Windows para moverse lateralmente, escalar privilegios y, finalmente, eliminar el ransomware. Trend Micro a principios de este año identificó al grupo Qakbot como vender acceso a redes comprometidas a Black Basta y otros operadores de ransomware.
"Evaluamos que es muy probable que la operación de ransomware Black Basta tenga vínculos con FIN7", dijo SentinelLabs de SentinelOne en una publicación de blog el 3 de noviembre. "Además, evaluamos que es probable que los desarrolladores detrás de sus herramientas para perjudicar a la víctima Defenses es, o fue, un desarrollador de FIN7”.
Amenaza de ransomware sofisticada
La operación de ransomware Black Basta surgió en abril de 2022 y se ha cobrado al menos 90 víctimas hasta finales de septiembre. Trend Micro ha descrito el ransomware como tener una rutina de cifrado sofisticada que probablemente utilice binarios únicos para cada una de sus víctimas. Muchos de sus ataques han implicado una técnica de doble extorsión en la que los actores de la amenaza primero extraen datos confidenciales del entorno de la víctima antes de cifrarlos.
En el tercer trimestre de 2022, Las infecciones por ransomware Black Basta representaron el 9% de todas las víctimas de ransomware, colocándolo en segundo lugar detrás de LockBit, que continuó siendo, con diferencia, la amenaza de ransomware más frecuente, con una participación del 35% de todas las víctimas, según datos de Digital Shadows.
“Digital Shadows ha observado la operación de ransomware Black Basta dirigida a la industria de bienes y servicios industriales, incluida la manufactura, más que cualquier otro sector”, dice Nicole Hoffman, analista senior de inteligencia de amenazas cibernéticas de Digital Shadows, una empresa de ReliaQuest. "El sector de la construcción y los materiales le sigue de cerca como el segundo sector más afectado hasta la fecha por la operación de ransomware".
FIN7 ha sido una espina clavada en la industria de la seguridad durante una década. Los ataques iniciales del grupo se centraron en el robo de datos de tarjetas de crédito y débito. Pero a lo largo de los años, FIN7, que también ha sido rastreado como Carbanak Group y Cobalt Group, también se ha diversificado hacia otras operaciones de cibercrimen, incluido más recientemente el ámbito del ransomware. Varios proveedores, incluido Digital Shadows, sospechan que FIN7 tiene vínculos con múltiples grupos de ransomware, incluidos REvil, Ryuk, DarkSide, BlackMatter y ALPHV.
"Por lo tanto, no sería sorprendente ver otra asociación potencial", esta vez con FIN7, dice Hoffman. “Sin embargo, es importante señalar que vincular dos grupos de amenazas no siempre significa que un grupo esté dirigiendo el espectáculo. Es realmente posible que los grupos estén trabajando juntos”.
Según SentinelLabs, algunas de las herramientas que utiliza la operación Black Basta en sus ataques sugieren que FIN7 está intentando disociar su nueva actividad de ransomware de la anterior. Una de esas herramientas es una herramienta personalizada de evasión y deterioro de defensa que parece haber sido escrita por un desarrollador de FIN7 y no se ha observado en ninguna otra operación de ransomware, dijo SentinelOne.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
