FIN7، یک سازمان جرایم سایبری با انگیزه مالی که تخمین زده میشود بیش از 1.2 میلیارد دلار از زمان ظهور در سال 2012 به سرقت برده باشد، پشت Black Basta، یکی از پرکارترین خانوادههای باجافزار امسال قرار دارد.
این نتیجه گیری محققان SentinelOne بر اساس آنچه آنها می گویند شباهت های مختلف در تاکتیک ها، تکنیک ها و رویه ها بین کمپین Black Basta و کمپین های قبلی FIN7 است. در میان آنها شباهت هایی در ابزاری برای فرار از محصولات تشخیص نقطه پایانی و پاسخ (EDR) وجود دارد. شباهت ها در بسته بندی برای بسته بندی چراغ Cobalt Strike و یک درب پشتی به نام Birddog. همپوشانی کد منبع؛ و همپوشانی آدرس های IP و زیرساخت میزبانی.
مجموعه ای از ابزارهای سفارشی
تحقیقات SentinelOne در فعالیتهای بلک باستا همچنین اطلاعات جدیدی در مورد روشها و ابزارهای حمله این بازیگر تهدید کننده کشف شد. به عنوان مثال، محققان دریافتند که در بسیاری از حملات Black Basta، عوامل تهدید از یک نسخه مبهم منحصر به فرد ابزار خط فرمان رایگان ADFind برای جمع آوری اطلاعات در مورد محیط Active Directory قربانی استفاده می کنند.
آنها دریافتند که اپراتورهای Black Basta از سال گذشته بهره برداری می کنند PrintNightmare آسیب پذیری در سرویس Windows Print Spooler (CVE-2021-34527) و ZeroLogon نقص از سال 2020 در پروتکل از راه دور Windows Netlogon (CVE-2020-1472) در بسیاری از کمپین ها. هر دو آسیبپذیری به مهاجمان راهی میدهند تا به کنترلکنندههای دامنه دسترسی مدیریتی داشته باشند. SentinelOne گفت که همچنین حملات Black Basta را با استفاده از "NoPac" مشاهده کرده است، سوء استفاده ای که ترکیبی از دو نقص حیاتی در طراحی Active Directory از سال گذشته (CVE-2021-42278 و CVE-2021-42287). مهاجمان می توانند از این اکسپلویت برای افزایش امتیازات از یک کاربر معمولی دامنه تا مدیر دامنه استفاده کنند.
SentinelOne که ردیابی Black Basta را در ژوئن آغاز کرد، زنجیره عفونت را مشاهده کرد که با قطرهانداز تروجان تبدیل شده به بدافزار Qakbot شروع میشد. محققان دریافتند عامل تهدید با استفاده از درب پشتی برای انجام شناسایی در شبکه قربانی با استفاده از ابزارهای مختلف از جمله AdFind، دو مجموعه .Net سفارشی، اسکنر شبکه SoftPerfect و WMI. پس از آن مرحله است که عامل تهدید تلاش می کند تا از آسیب پذیری های مختلف ویندوز برای حرکت جانبی، افزایش امتیازات و در نهایت حذف باج افزار سوء استفاده کند. Trend Micro در اوایل سال جاری گروه Qakbot را به عنوان فروش دسترسی به شبکه های در معرض خطر به Black Basta و سایر اپراتورهای باج افزار.
SentinelLabs SentinelOne در یک پست وبلاگ در 7 نوامبر گفت: "ما ارزیابی می کنیم که به احتمال زیاد عملیات باج افزار Black Basta با FIN3 ارتباط دارد." Defences یک توسعه دهنده برای FIN7 است یا بود.
تهدید باج افزار پیچیده
عملیات باج افزار Black Basta در آوریل 2022 ظاهر شد و تا پایان سپتامبر حداقل 90 قربانی گرفته است. Trend Micro این باج افزار را چنین توصیف کرده است داشتن یک روال رمزگذاری پیچیده که احتمالاً از باینری های منحصر به فرد برای هر یک از قربانیان خود استفاده می کند. بسیاری از حملات آن شامل یک تکنیک اخاذی مضاعف است که در آن عوامل تهدید ابتدا دادههای حساس را از محیط قربانی استخراج میکنند قبل از اینکه آنها را رمزگذاری کنند.
در سه ماهه سوم سال 2022 ، آلودگی باج افزار Black Basta 9 درصد است بر اساس دادههای Digital Shadows، از میان قربانیان باجافزار، آن را در جایگاه دوم پس از LockBit قرار میدهد، که همچنان شایعترین تهدید باجافزار محسوب میشود – با سهم ۳۵ درصدی از کل قربانیان.
نیکول هافمن، تحلیلگر ارشد اطلاعات تهدیدات سایبری در Digital Shadows، یک شرکت ReliaQuest، میگوید: «دیجیتال سایهها عملیات باجافزار Black Basta را مشاهده کرده است که صنعت کالاها و خدمات صنعتی، از جمله تولید، را بیش از هر بخش دیگری هدف قرار داده است. بخش ساخت و ساز و مواد به عنوان دومین صنعت مورد هدف تا به امروز از طریق عملیات باجافزار بهدنبال دارد.
FIN7 برای یک دهه خاری در چشم صنعت امنیت بوده است. حملات اولیه این گروه بر سرقت اطلاعات کارت اعتباری و بدهی متمرکز بود. اما در طول سالها، FIN7 که بهعنوان گروه کاربانک و گروه کبالت نیز ردیابی میشود، به سایر عملیاتهای جرایم سایبری نیز متنوع شده است، از جمله اخیراً در حوزه باجافزار. چندین فروشنده - از جمله Digital Shadows - مظنون به ارتباط FIN7 با چندین گروه باج افزار از جمله REvil، Ryuk، DarkSide، BlackMatter و ALPHV هستند.
هافمن میگوید: «بنابراین، دیدن یک ارتباط بالقوه دیگر، این بار با FIN7، تعجبآور نخواهد بود. با این حال، توجه به این نکته مهم است که پیوند دو گروه تهدید با هم همیشه به این معنی نیست که یک گروه نمایش را اجرا می کند. این امکان وجود دارد که این گروه ها با هم کار کنند."
به گفته SentinelLabs، برخی از ابزارهایی که عملیات Black Basta در حملات خود استفاده میکند، نشان میدهد که FIN7 در تلاش است تا فعالیت باجافزار جدید خود را از قدیمی جدا کند. SentinelOne گفت که یکی از این ابزارها یک ابزار سفارشی برای فرار از دفاع و آسیب است که به نظر می رسد توسط یک توسعه دهنده FIN7 نوشته شده است و در هیچ عملیات باج افزار دیگری مشاهده نشده است.