FIN7, sebuah organisasi kejahatan dunia maya yang bermotivasi finansial dan diperkirakan telah mencuri lebih dari $1.2 miliar sejak muncul pada tahun 2012, berada di belakang Black Basta, salah satu keluarga ransomware paling produktif tahun ini.
Itulah kesimpulan para peneliti di SentinelOne berdasarkan apa yang mereka katakan adalah berbagai kesamaan taktik, teknik, dan prosedur antara kampanye Black Basta dengan kampanye FIN7 sebelumnya. Diantaranya adalah kesamaan alat untuk menghindari produk deteksi dan respons titik akhir (EDR); kesamaan pengepakan untuk pengepakan suar Cobalt Strike dan pintu belakang yang disebut Birddog; kode sumber tumpang tindih; dan alamat IP dan infrastruktur hosting yang tumpang tindih.
Koleksi Alat Kustom
Investigasi SentinelOne ke dalam aktivitas Black Basta juga menggali informasi baru tentang metode dan alat serangan pelaku ancaman. Misalnya, para peneliti menemukan bahwa dalam banyak serangan Black Basta, pelaku ancaman menggunakan versi unik alat baris perintah gratis ADFind yang dikaburkan untuk mengumpulkan informasi tentang lingkungan Direktori Aktif korban.
Mereka menemukan operator Black Basta mengeksploitasi tahun lalu CetakMimpi Buruk kerentanan dalam layanan Windows Print Spooler (CVE-2021-34527) Dan NolLogon cacat dari tahun 2020 di Windows Netlogon Remote Protocol (CVE-2020-1472) di banyak kampanye. Kedua kerentanan tersebut memberi penyerang cara untuk mendapatkan akses administratif pada pengontrol domain. SentinelOne mengatakan pihaknya juga mengamati serangan Black Basta yang memanfaatkan “NoPac,” sebuah eksploitasi menggabungkan dua kelemahan desain Direktori Aktif yang penting dari tahun kemarin (CVE-2021-42278 dan CVE-2021-42287). Penyerang dapat menggunakan eksploitasi tersebut untuk meningkatkan hak istimewa dari pengguna domain biasa hingga administrator domain.
SentinelOne, yang mulai melacak Black Basta pada bulan Juni, mengamati rantai infeksi yang dimulai dengan penetes Trojan Qakbot yang berubah menjadi malware. Para peneliti menemukan pelaku ancaman menggunakan pintu belakang untuk melakukan pengintaian pada jaringan korban menggunakan berbagai alat termasuk AdFind, dua rakitan .Net khusus, pemindai jaringan SoftPerfect, dan WMI. Setelah tahap itulah pelaku ancaman mencoba mengeksploitasi berbagai kerentanan Windows untuk bergerak ke samping, meningkatkan hak istimewa, dan pada akhirnya menghapus ransomware. Trend Micro awal tahun ini mengidentifikasi grup Qakbot sebagai menjual akses ke jaringan yang disusupi ke Black Basta dan operator ransomware lainnya.
“Kami menilai kemungkinan besar operasi ransomware Black Basta ada hubungannya dengan FIN7,” kata SentinelLabs dari SentinelOne dalam postingan blog pada 3 November. “Selain itu, kami menilai kemungkinan besar pengembang di balik alat mereka untuk mengganggu korban pertahanan adalah, atau pernah menjadi, pengembang untuk FIN7.”
Ancaman Ransomware Canggih
Operasi ransomware Black Basta muncul pada April 2022 dan telah memakan korban sedikitnya 90 orang hingga akhir September. Trend Micro menggambarkan ransomware sebagai memiliki rutinitas enkripsi yang canggih yang kemungkinan besar menggunakan biner unik untuk setiap korbannya. Banyak dari serangannya melibatkan teknik pemerasan ganda di mana pelaku ancaman terlebih dahulu mengambil data sensitif dari lingkungan korban sebelum mengenkripsinya.
Pada kuartal ketiga tahun 2022, Infeksi ransomware Black Basta menyumbang 9% dari seluruh korban ransomware, menempatkannya di peringkat kedua setelah LockBit, yang sejauh ini terus menjadi ancaman ransomware paling umum — dengan pangsa 35% dari seluruh korban, menurut data dari Digital Shadows.
“Digital Shadows telah mengamati operasi ransomware Black Basta yang menargetkan industri barang dan jasa industri, termasuk manufaktur, lebih banyak dibandingkan sektor lainnya,” kata Nicole Hoffman, analis intelijen ancaman siber senior, di Digital Shadows, sebuah perusahaan ReliaQuest. “Sektor konstruksi dan material menyusul sebagai industri kedua yang paling menjadi sasaran operasi ransomware hingga saat ini.”
FIN7 telah menjadi duri dalam industri keamanan selama satu dekade. Serangan awal kelompok ini terfokus pada pencurian data kartu kredit dan debit. Namun selama bertahun-tahun, FIN7, yang juga dilacak sebagai Grup Carbanak dan Grup Cobalt, juga telah melakukan diversifikasi ke operasi kejahatan dunia maya lainnya, termasuk yang terbaru ke ranah ransomware. Beberapa vendor — termasuk Digital Shadows — mencurigai FIN7 memiliki tautan ke beberapa grup ransomware, termasuk REvil, Ryuk, DarkSide, BlackMatter, dan ALPHV.
“Jadi, tidak mengherankan jika melihat potensi asosiasi lainnya,” kali ini dengan FIN7, kata Hoffman. “Namun, penting untuk dicatat bahwa menghubungkan dua kelompok ancaman tidak selalu berarti satu kelompoklah yang bertanggung jawab. Secara realistis mungkin saja kelompok-kelompok tersebut bekerja sama.”
Menurut SentinelLabs, beberapa alat yang digunakan operasi Black Basta dalam serangannya menunjukkan bahwa FIN7 berusaha memisahkan aktivitas ransomware barunya dari aktivitas lama. Salah satu alat tersebut adalah alat penghindaran pertahanan dan gangguan khusus yang tampaknya ditulis oleh pengembang FIN7 dan belum ditemukan dalam operasi ransomware lainnya, kata SentinelOne.
