FIN7, एक वित्तीय रूप से प्रेरित साइबर अपराध संगठन है जिसके बारे में अनुमान है कि 1.2 में सामने आने के बाद से इसने 2012 बिलियन डॉलर से अधिक की चोरी की है, जो इस साल के सबसे विपुल रैंसमवेयर परिवारों में से एक ब्लैक बस्ता के पीछे है।
सेंटिनलवन के शोधकर्ताओं का यह निष्कर्ष ब्लैक बस्ता अभियान और पिछले FIN7 अभियानों के बीच रणनीति, तकनीकों और प्रक्रियाओं में विभिन्न समानताओं के आधार पर है। इनमें एंडपॉइंट डिटेक्शन और रिस्पॉन्स (ईडीआर) उत्पादों से बचने के लिए एक उपकरण में समानताएं हैं; कोबाल्ट स्ट्राइक बीकन और बर्डडॉग नामक पिछले दरवाजे की पैकिंग के लिए पैकर्स में समानताएं; स्रोत कोड ओवरलैप होता है; और ओवरलैपिंग आईपी पते और होस्टिंग इंफ्रास्ट्रक्चर।
कस्टम टूल का संग्रह
सेंटिनलवन की जांच ब्लैक बस्ता की गतिविधियों में खतरे वाले अभिनेता के हमले के तरीकों और उपकरणों के बारे में नई जानकारी भी सामने आई। उदाहरण के लिए, शोधकर्ताओं ने पाया कि कई ब्लैक बस्ता हमलों में, धमकी देने वाले कलाकार पीड़ित के सक्रिय निर्देशिका वातावरण के बारे में जानकारी इकट्ठा करने के लिए मुफ्त कमांड-लाइन टूल एडीफाइंड के एक विशिष्ट अस्पष्ट संस्करण का उपयोग करते हैं।
उन्होंने पाया कि ब्लैक बस्ता संचालक पिछले साल का शोषण कर रहे हैं प्रिंट दुःस्वप्न विंडोज़ प्रिंट स्पूलर सेवा में भेद्यता (CVE-2021-34527) और यह जीरोलोगोन विंडोज़ नेटलॉगऑन रिमोट प्रोटोकॉल में 2020 की खामी (CVE-2020-1472) कई अभियानों में। दोनों कमजोरियाँ हमलावरों को डोमेन नियंत्रकों पर प्रशासनिक पहुँच प्राप्त करने का एक तरीका देती हैं। सेंटिनलवन ने कहा कि उसने "नोपैक" का लाभ उठाते हुए ब्लैक बस्ता हमलों को भी देखा, जो कि एक कारनामा है दो महत्वपूर्ण सक्रिय निर्देशिका डिज़ाइन दोषों को जोड़ती है पिछले साल से (CVE-2021-42278 और CVE-2021-42287). हमलावर इस शोषण का उपयोग किसी नियमित डोमेन उपयोगकर्ता के विशेषाधिकारों को डोमेन प्रशासक तक बढ़ाने के लिए कर सकते हैं।
सेंटिनलवन, जिसने जून में ब्लैक बस्ता पर नज़र रखना शुरू किया, ने क्यूकबोट ट्रोजन से मैलवेयर बने ड्रॉपर से शुरू होने वाली संक्रमण श्रृंखला देखी। शोधकर्ताओं ने पाया कि धमकी देने वाला अभिनेता AdFind, दो कस्टम .Net असेंबली, SoftPerfect के नेटवर्क स्कैनर और WMI सहित विभिन्न उपकरणों का उपयोग करके पीड़ित नेटवर्क पर टोह लेने के लिए पिछले दरवाजे का उपयोग कर रहा है। यह उस चरण के बाद है कि धमकी देने वाला अभिनेता विभिन्न विंडोज कमजोरियों का फायदा उठाकर पार्श्व में स्थानांतरित करने, विशेषाधिकारों को बढ़ाने और अंततः रैंसमवेयर को गिराने का प्रयास करता है। ट्रेंड माइक्रो ने इस साल की शुरुआत में Qakbot समूह की पहचान की थी समझौता किए गए नेटवर्क तक पहुंच बेचना ब्लैक बस्ता और अन्य रैंसमवेयर ऑपरेटरों के लिए।
सेंटिनलवन के सेंटिनललैब्स ने 7 नवंबर को एक ब्लॉग पोस्ट में कहा, "हमारा आकलन है कि इसकी अत्यधिक संभावना है कि ब्लैक बस्ता रैंसमवेयर ऑपरेशन का FIN3 के साथ संबंध है।" डिफेंस FIN7 का डेवलपर है या था।"
परिष्कृत रैंसमवेयर खतरा
ब्लैक बस्ता रैंसमवेयर ऑपरेशन अप्रैल 2022 में सामने आया और सितंबर के अंत तक कम से कम 90 पीड़ितों का दावा किया गया। ट्रेंड माइक्रो ने रैनसमवेयर का वर्णन इस प्रकार किया है एक परिष्कृत एन्क्रिप्शन रूटीन होना यह संभवतः अपने प्रत्येक पीड़ित के लिए अद्वितीय बायनेरिज़ का उपयोग करता है। इसके कई हमलों में डबल-एक्सटॉर्शन तकनीक शामिल है, जहां धमकी देने वाले कलाकार पीड़ित परिवेश से संवेदनशील डेटा को एन्क्रिप्ट करने से पहले उसे बाहर निकाल लेते हैं।
2022 की तीसरी तिमाही में, ब्लैक बस्ता रैंसमवेयर संक्रमण 9% है डिजिटल शैडोज़ के आंकड़ों के अनुसार, सभी रैंसमवेयर पीड़ितों में से, यह लॉकबिट के बाद दूसरे स्थान पर है, जो अब तक का सबसे प्रचलित रैंसमवेयर खतरा बना हुआ है - सभी पीड़ितों की 35% हिस्सेदारी के साथ।
रेलियाक्वेस्ट कंपनी डिजिटल शैडोज़ के वरिष्ठ साइबर-खतरा खुफिया विश्लेषक निकोल हॉफमैन कहते हैं, "डिजिटल शैडोज़ ने ब्लैक बस्ता रैंसमवेयर ऑपरेशन को विनिर्माण सहित औद्योगिक वस्तुओं और सेवा उद्योग को किसी भी अन्य क्षेत्र से अधिक लक्षित करते हुए देखा है।" "निर्माण और सामग्री क्षेत्र रैंसमवेयर ऑपरेशन द्वारा आज तक दूसरा सबसे अधिक लक्षित उद्योग है।"
FIN7 एक दशक से सुरक्षा उद्योग के लिए एक कांटा बना हुआ है। समूह के शुरुआती हमले क्रेडिट और डेबिट कार्ड डेटा चोरी पर केंद्रित थे। लेकिन पिछले कुछ वर्षों में, FIN7, जिसे कार्बनक समूह और कोबाल्ट समूह के रूप में भी ट्रैक किया गया है, ने अन्य साइबर अपराध संचालन में भी विविधता ला दी है, जिसमें हाल ही में रैंसमवेयर क्षेत्र भी शामिल है। डिजिटल शैडोज़ सहित कई विक्रेताओं ने FIN7 पर रेविल, रयूक, डार्कसाइड, ब्लैकमैटर और ALPHV सहित कई रैंसमवेयर समूहों से जुड़े होने का संदेह किया है।
हॉफमैन कहते हैं, "तो, इस बार FIN7 के साथ एक और संभावित जुड़ाव देखना आश्चर्य की बात नहीं होगी।" “हालांकि, यह ध्यान रखना महत्वपूर्ण है कि दो खतरनाक समूहों को एक साथ जोड़ने का मतलब हमेशा यह नहीं होता है कि एक समूह शो चला रहा है। यह वास्तविक रूप से संभव है कि समूह एक साथ काम कर रहे हों।"
सेंटिनललैब्स के अनुसार, ब्लैक बस्ता ऑपरेशन अपने हमलों में जिन कुछ उपकरणों का उपयोग करता है, उनमें से कुछ से पता चलता है कि FIN7 अपनी नई रैंसमवेयर गतिविधि को पुरानी से अलग करने का प्रयास कर रहा है। ऐसा ही एक उपकरण एक कस्टम रक्षा-चोरी और हानि उपकरण है जो FIN7 डेवलपर द्वारा लिखा गया प्रतीत होता है और इसे किसी अन्य रैंसमवेयर ऑपरेशन में नहीं देखा गया है, सेंटिनलवन ने कहा।
