A FIN7, egy pénzügyileg motivált kiberbűnözés elleni szervezet, amely a becslések szerint jóval több mint 1.2 milliárd dollárt lopott el 2012-es megjelenése óta, a Black Basta, az idei év egyik legtermékenyebb zsarolóvírus-családja mögött áll.
Erre a következtetésre jutottak a SentinelOne kutatói annak alapján, hogy a Black Basta kampány és a korábbi FIN7 kampányok taktikájában, technikáiban és eljárásaiban különböző hasonlóságok vannak. Ezek között vannak hasonlóságok a végpont-észlelési és válaszadási (EDR) termékek elkerülésére szolgáló eszközben; hasonlóságok a Cobalt Strike jeladó és a Birddog nevű hátsó ajtó csomagolására szolgáló csomagolókban; forráskód átfedések; valamint átfedő IP-címek és hosting infrastruktúra.
Egyedi eszközök gyűjteménye
SentinelOne nyomozása Fekete Basta tevékenysége során új információkat is feltárt a fenyegető szereplő támadási módszereiről és eszközeiről. A kutatók például azt találták, hogy sok Black Basta támadásnál a fenyegetés szereplői az ingyenes ADFind parancssori eszköz egyedileg elfojtott változatát használják az áldozat Active Directory környezetéről való információgyűjtéshez.
Azt találták, hogy a Black Basta üzemeltetői kihasználják a tavalyiakat NyomtatásNightmare sérülékenység a Windows Print Spooler szolgáltatásban (CVE-2021 34527-), És a ZeroLogon hiba 2020-tól a Windows Netlogon Remote Protocolban (CVE-2020 1472-) számos kampányban. Mindkét biztonsági rés lehetőséget ad a támadóknak, hogy adminisztrátori hozzáférést kapjanak a tartományvezérlőkhöz. A SentinelOne azt is elmondta, hogy megfigyelte a Black Basta támadásait, amelyek a „NoPac”-ot használták fel, ami egy ilyen kizsákmányolás két kritikus Active Directory tervezési hibát kombinál tavalyról (CVE-2021 42278- és a CVE-2021 42287-). A támadók a kihasználást arra használhatják, hogy a normál tartományfelhasználók jogosultságait a tartományi rendszergazdákig továbbítsák.
A SentinelOne, amely júniusban kezdte nyomon követni a Black Bastát, megfigyelte a fertőzési láncot, amely a Qakbot trójai által rosszindulatú programmá vált csepegtetővel kezdődik. A kutatók megtalálták a fenyegetést használó szereplőt, aki a hátsó ajtón keresztül felderítést végzett az áldozat hálózatán különféle eszközök segítségével, beleértve az AdFind-et, két egyedi .Net-szerelvényt, a SoftPerfect hálózati szkennerét és a WMI-t. Ezt követően a fenyegetés szereplője megpróbálja kihasználni a Windows különféle sebezhetőségeit, hogy oldalirányban mozogjon, növelje a jogosultságokat, és végül eldobja a zsarolóprogramot. A Trend Micro az év elején azonosította a Qakbot csoportot feltört hálózatokhoz való hozzáférés értékesítése a Black Bastának és más ransomware-üzemeltetőknek.
„Úgy értékeljük, hogy nagyon valószínű, hogy a Black Basta ransomware-művelet kapcsolatban áll a FIN7-tel” – mondta a SentinelOne SentinelLabs egy november 3-i blogbejegyzésében. Defense a FIN7 fejlesztője, vagy volt.
Kifinomult zsarolóvírus-veszély
A Black Basta ransomware művelet 2022 áprilisában jelent meg, és szeptember végéig legalább 90 áldozatot követelt. A Trend Micro a ransomware-t úgy írta le kifinomult titkosítási rutinnal rendelkezik amely valószínűleg egyedi binárisokat használ minden egyes áldozathoz. Számos támadása kettős zsarolási technikát tartalmazott, ahol a fenyegetés szereplői először kiszűrik az érzékeny adatokat az áldozat környezetéből, mielőtt titkosítanák azokat.
2022 harmadik negyedévében A Black Basta ransomware fertőzések 9%-át tette ki Az összes zsarolóvírus-áldozat közül, ezzel a második helyre került a LockBit mögött, amely továbbra is messze a legelterjedtebb ransomware-fenyegetés volt – a Digital Shadows adatai szerint az összes áldozat 35%-ával.
„A Digital Shadows minden más ágazatnál jobban megfigyelte a Black Basta ransomware-műveletét, amely az ipari termékek és szolgáltatások iparágát célozza meg, beleértve a gyártást” – mondja Nicole Hoffman, a Digital Shadows, a ReliaQuest nevű vállalat vezető kiberfenyegetés-intelligencia elemzője. „Az építőipar és az anyagszektor szorosan lemaradva a második legcélzottabb iparág a mai napig a zsarolóvírus-művelet által.”
A FIN7 egy évtizede szálka a biztonsági ipar szemében. A csoport kezdeti támadásai a hitel- és betéti kártyaadatok ellopására irányultak. De az évek során a FIN7, amelyet Carbanak Group és Cobalt Group néven is követtek, más számítástechnikai bûnözési tevékenységekre is kiterjedt, többek között legutóbb a ransomware területére is. Számos gyártó – köztük a Digital Shadows – azzal gyanúsította a FIN7-et, hogy több zsarolóvírus-csoporthoz kapcsolódik, köztük a REvil, a Ryuk, a DarkSide, a BlackMatter és az ALPHV.
„Tehát nem lenne meglepő, ha egy újabb lehetséges társulást látnánk” – ezúttal a FIN7-tel – mondja Hoffman. „Fontos azonban megjegyezni, hogy két fenyegetett csoport összekapcsolása nem mindig jelenti azt, hogy egy csoport vezeti a műsort. Reálisan lehetséges, hogy a csoportok együtt dolgoznak.”
A SentinelLabs szerint a Black Basta által a támadásokhoz használt egyes eszközök arra utalnak, hogy a FIN7 megpróbálja elválasztani az új ransomware tevékenységét a régitől. Az egyik ilyen eszköz egy egyedi védelmi kijátszást és károsodást okozó eszköz, amelyet úgy tűnik, hogy egy FIN7 fejlesztő írt, és nem figyelték meg más zsarolóvírus-műveletben, mondta a SentinelOne.
