FIN7, taloudellisesti motivoitunut verkkorikollisjärjestö, jonka arvioidaan varastaneen reilusti yli 1.2 miljardia dollaria sen jälkeen, kun se ilmestyi pinnalle vuonna 2012, on Black Bastan takana, joka on yksi tämän vuoden tuottoisimmista kiristysohjelmaperheistä.
SentinelOnen tutkijat päättelevät tämän perusteella, mitä he sanovat, että Black Basta -kampanjan ja aiempien FIN7-kampanjoiden taktiikoissa, tekniikoissa ja menettelyissä on useita yhtäläisyyksiä. Niiden joukossa on yhtäläisyyksiä työkalussa, jolla vältetään päätepisteiden havaitsemis- ja vastaustuotteet (EDR); yhtäläisyydet pakkaajissa Cobalt Strike -majakan ja Birddog-nimisen takaoven pakkaamiseen; lähdekoodi on päällekkäinen; ja päällekkäiset IP-osoitteet ja isännöintiinfrastruktuuri.
Kokoelma mukautettuja työkaluja
SentinelOnen tutkinta Black Bastan toimintaan paljastui myös uutta tietoa uhkatoimijan hyökkäysmenetelmistä ja työkaluista. Esimerkiksi tutkijat havaitsivat, että monissa Black Basta -hyökkäyksissä uhkatekijät käyttävät ilmaisen ADFind-komentorivityökalun ainutlaatuisesti hämärtynyttä versiota kerätäkseen tietoja uhrin Active Directory -ympäristöstä.
He havaitsivat, että Black Basta -operaattorit käyttävät hyväkseen viime vuoden Tulosta Nightmare Windows Print Spooler -palvelun haavoittuvuus (CVE-2021-34527) ja ZeroLogon virhe vuodelta 2020 Windows Netlogon Remote Protocolissa (CVE-2020-1472) monissa kampanjoissa. Molemmat haavoittuvuudet antavat hyökkääjille tavan saada järjestelmänvalvojan käyttöoikeudet toimialueen ohjaimiin. SentinelOne sanoi, että se havaitsi myös Black Basta -hyökkäykset hyödyntäen "NoPacia", joka on hyväksikäyttö yhdistää kaksi kriittistä Active Directoryn suunnitteluvirhettä viime vuodesta (CVE-2021-42278 ja CVE-2021-42287). Hyökkääjät voivat käyttää hyväksikäyttöä laajentaakseen verkkotunnuksen tavallisen käyttäjän oikeuksia aina toimialueen järjestelmänvalvojalle.
SentinelOne, joka aloitti Black Bastan seurannan kesäkuussa, havaitsi tartuntaketjun, joka alkoi Qakbotin troijalaisista haittaohjelmista tehdystä dropperista. Tutkijat löysivät uhkatekijän, joka käytti takaovea tutkiakseen uhrin verkkoa käyttämällä erilaisia työkaluja, kuten AdFindiä, kahta mukautettua .Net-kokoonpanoa, SoftPerfectin verkkoskanneria ja WMI:tä. Tämän vaiheen jälkeen uhkatekijä yrittää hyödyntää Windowsin erilaisia haavoittuvuuksia liikkuakseen sivusuunnassa, lisätäkseen oikeuksia ja lopulta pudottaakseen kiristysohjelman. Trend Micro tunnisti aiemmin tänä vuonna Qakbot-ryhmän nimellä myymällä pääsyä vaarantuneisiin verkkoihin Black Bastalle ja muille ransomware-operaattoreille.
"Arvioimme, että on erittäin todennäköistä, että Black Basta ransomware -operaatiolla on yhteyksiä FIN7:ään", SentinelOnen SentinelLabs sanoi blogiviestissä 3. marraskuuta. "Lisäksi arvioimme, että on todennäköistä, että kehittäjät ovat heidän työkalujensa takana vahingoittaa uhria. puolustus on tai oli FIN7:n kehittäjä."
Kehittynyt Ransomware-uhka
Black Basta ransomware -operaatio ilmestyi huhtikuussa 2022, ja se on vaatinut ainakin 90 uhria syyskuun loppuun mennessä. Trend Micro on kuvaillut ransomwarea nimellä joilla on kehittynyt salausrutiini joka todennäköisesti käyttää ainutlaatuisia binääritiedostoja jokaiselle uhrilleen. Monet sen hyökkäyksistä ovat liittyneet kaksinkertaiseen kiristystekniikkaan, jossa uhkatekijät ensin suodattavat arkaluontoiset tiedot uhriympäristöstä ennen niiden salaamista.
Vuoden 2022 kolmannella neljänneksellä Black Basta ransomware -tartuntojen osuus oli 9 % kaikista kiristysohjelmien uhreista, mikä nostaa sen toiselle sijalle LockBitin jälkeen, joka oli edelleen ylivoimaisesti yleisin kiristysohjelmauhka – 35 prosentin osuudella kaikista uhreista Digital Shadowsin tietojen mukaan.
"Digital Shadows on havainnut Black Bastan kiristyshaittaohjelman, joka kohdistuu teollisuustuote- ja palveluteollisuuteen, mukaan lukien valmistus, enemmän kuin mikään muu ala", sanoo Nicole Hoffman, vanhempi kyberuhkien tiedusteluanalyytikko Digital Shadowsista, ReliaQuest-yhtiöstä. "Rakennus- ja materiaalisektori seuraa tiukasti perässä toiseksi eniten kohdistetuksi ransomware-operaation tähän mennessä."
FIN7 on ollut piikki turvallisuusalalla jo vuosikymmenen ajan. Ryhmän ensimmäiset hyökkäykset keskittyivät luotto- ja pankkikorttitietojen varkauksiin. Mutta vuosien varrella FIN7, jota on seurattu myös nimellä Carbanak Group ja Cobalt Group, on laajentunut myös muihin kyberrikollisuustoimintoihin, mukaan lukien viimeksi ransomware-alueeseen. Useat toimittajat - mukaan lukien Digital Shadows - ovat epäillyt FIN7:ää linkeistä useisiin kiristysohjelmaryhmiin, mukaan lukien REvil, Ryuk, DarkSide, BlackMatter ja ALPHV.
"Joten ei olisi yllättävää nähdä uusi mahdollinen yhdistys", tällä kertaa FIN7:n kanssa, Hoffman sanoo. ”On kuitenkin tärkeää huomata, että kahden uhkaryhmän yhdistäminen ei aina tarkoita, että yksi ryhmä pyörittää esitystä. On todella mahdollista, että ryhmät työskentelevät yhdessä.
SentinelLabsin mukaan osa työkaluista, joita Black Basta -operaatio käyttää hyökkäyksissään, viittaa siihen, että FIN7 yrittää erottaa uuden kiristysohjelmatoimintansa vanhasta. Eräs tällainen työkalu on räätälöity suojan kiertämisen ja heikentämisen työkalu, joka näyttää olevan FIN7-kehittäjän kirjoittama ja jota ei ole havaittu missään muussa kiristysohjelmatoiminnassa, SentinelOne sanoi.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
