FIN7 Cybercrime Group probablement derrière la campagne Black Basta Ransomware

FIN7, une organisation de cybercriminalité à motivation financière qui aurait volé plus de 1.2 milliard de dollars depuis son apparition en 2012, est derrière Black Basta, l'une des familles de ransomwares les plus prolifiques de cette année.

C'est la conclusion des chercheurs de SentinelOne, sur la base de ce qu'ils disent être diverses similitudes dans les tactiques, techniques et procédures entre la campagne Black Basta et les campagnes FIN7 précédentes. Parmi eux figurent des similitudes dans un outil permettant d’échapper aux produits de détection et de réponse aux points finaux (EDR) ; similitudes dans les emballeurs pour l'emballage de la balise Cobalt Strike et d'une porte dérobée appelée Birddog ; chevauchements de code source ; et des adresses IP et des infrastructures d'hébergement qui se chevauchent.

Une collection d'outils personnalisés

L'enquête de SentinelOne Les activités de Black Basta ont également permis de découvrir de nouvelles informations sur les méthodes et les outils d'attaque des acteurs menaçants. Par exemple, les chercheurs ont découvert que dans de nombreuses attaques Black Basta, les auteurs de la menace utilisent une version obscurcie unique de l'outil de ligne de commande gratuit ADFind pour collecter des informations sur l'environnement Active Directory d'une victime.

Ils ont découvert que les opérateurs de Black Basta exploitaient les ImprimerCauchemar vulnérabilité dans le service Windows Print Spooler (CVE-2021-34527) Et le ZéroLogon faille de 2020 dans Windows Netlogon Remote Protocol (CVE-2020-1472) dans de nombreuses campagnes. Les deux vulnérabilités donnent aux attaquants un moyen d’obtenir un accès administratif aux contrôleurs de domaine. SentinelOne a déclaré avoir également observé des attaques de Black Basta exploitant « NoPac », un exploit qui combine deux failles critiques de conception d'Active Directory depuis l'année derniere (CVE-2021-42278 ainsi que le CVE-2021-42287). Les attaquants peuvent utiliser cet exploit pour élever les privilèges de ceux d'un utilisateur de domaine régulier jusqu'à ceux d'administrateur de domaine.

SentinelOne, qui a commencé à suivre Black Basta en juin, a observé la chaîne d'infection commençant par le cheval de Troie Qakbot devenu un logiciel malveillant. Les chercheurs ont découvert que l'auteur de la menace utilisait la porte dérobée pour effectuer une reconnaissance sur le réseau de la victime à l'aide de divers outils, notamment AdFind, deux assemblages .Net personnalisés, le scanner de réseau de SoftPerfect et WMI. C'est après cette étape que l'auteur de la menace tente d'exploiter les différentes vulnérabilités de Windows pour se déplacer latéralement, élever ses privilèges et finalement abandonner le ransomware. Trend Micro a identifié plus tôt cette année le groupe Qakbot comme vendre l'accès à des réseaux compromis à Black Basta et à d’autres opérateurs de ransomwares. 

"Nous estimons qu'il est très probable que l'opération du ransomware Black Basta ait des liens avec FIN7", a déclaré SentinelLabs de SentinelOne dans un article de blog le 3 novembre. "En outre, nous évaluons qu'il est probable que le(s) développeur(s) derrière leurs outils pour nuire aux victimes defenses est, ou était, un développeur pour FIN7.

Menace de ransomware sophistiquée

L’opération du ransomware Black Basta a fait surface en avril 2022 et a fait au moins 90 victimes jusqu’à fin septembre. Trend Micro a décrit le ransomware comme avoir une routine de cryptage sophistiquée qui utilise probablement des binaires uniques pour chacune de ses victimes. Bon nombre de ses attaques impliquaient une technique de double extorsion dans laquelle les auteurs de la menace exfiltrent d'abord les données sensibles de l'environnement de la victime avant de les chiffrer. 

Au troisième trimestre 2022, Les infections par le rançongiciel Black Basta représentaient 9 % de toutes les victimes de ransomwares, ce qui le place au deuxième rang derrière LockBit, qui reste de loin la menace de ransomware la plus répandue – avec 35 % de toutes les victimes, selon les données de Digital Shadows.

« Digital Shadows a observé l'opération du ransomware Black Basta ciblant le secteur des biens et services industriels, y compris l'industrie manufacturière, plus que tout autre secteur », déclare Nicole Hoffman, analyste principale des renseignements sur les cybermenaces chez Digital Shadows, une société ReliaQuest. « Le secteur de la construction et des matériaux suit de près en tant que deuxième secteur le plus ciblé à ce jour par l'opération de ransomware. »

FIN7 est une épine dans le pied du secteur de la sécurité depuis une décennie. Les premières attaques du groupe se sont concentrées sur le vol de données de cartes de crédit et de débit. Mais au fil des années, FIN7, qui a également été suivi sous les noms de Carbanak Group et Cobalt Group, s'est également diversifié dans d'autres opérations de cybercriminalité, y compris plus récemment dans le domaine des ransomwares. Plusieurs fournisseurs, dont Digital Shadows, soupçonnent FIN7 d'avoir des liens avec plusieurs groupes de ransomwares, notamment REvil, Ryuk, DarkSide, BlackMatter et ALPHV. 

"Il ne serait donc pas surprenant de voir une autre association potentielle", cette fois avec FIN7, dit Hoffman. « Cependant, il est important de noter que le fait de lier deux groupes menaçants ne signifie pas toujours qu’un seul groupe dirige le spectacle. Il est raisonnablement possible que les groupes travaillent ensemble.

Selon SentinelLabs, certains des outils utilisés par l'opération Black Basta dans ses attaques suggèrent que FIN7 tente de dissocier sa nouvelle activité de ransomware de l'ancienne. L'un de ces outils est un outil personnalisé d'évasion et de dégradation de la défense qui semble avoir été écrit par un développeur FIN7 et n'a été observé dans aucune autre opération de ransomware, a déclaré SentinelOne.