FIN7, un'organizzazione criminale informatica motivata finanziariamente che si stima abbia rubato ben oltre 1.2 miliardi di dollari dalla sua comparsa nel 2012, è alla base di Black Basta, una delle famiglie di ransomware più prolifiche di quest'anno.
Questa è la conclusione dei ricercatori di SentinelOne sulla base di ciò che dicono sono varie somiglianze nelle tattiche, tecniche e procedure tra la campagna Black Basta e le precedenti campagne FIN7. Tra questi ci sono somiglianze in uno strumento per eludere i prodotti di rilevamento e risposta degli endpoint (EDR); somiglianze negli imballatori per l'imballaggio del faro Cobalt Strike e di una backdoor chiamata Birddog; sovrapposizioni di codice sorgente; e indirizzi IP sovrapposti e infrastruttura di hosting.
Una raccolta di strumenti personalizzati
L'indagine di SentinelOne nelle attività di Black Basta ha anche portato alla luce nuove informazioni sui metodi e sugli strumenti di attacco dell'autore della minaccia. Ad esempio, i ricercatori hanno scoperto che in molti attacchi Black Basta, gli autori delle minacce utilizzano una versione offuscata in modo univoco dello strumento gratuito da riga di comando ADFind per raccogliere informazioni sull'ambiente Active Directory di una vittima.
Hanno scoperto che gli operatori di Black Basta stanno sfruttando quello dell'anno scorso StampaIncubo vulnerabilità nel servizio Spooler di stampa di Windows (CVE-2021-34527) e il Accesso zero difetto del 2020 in Windows Netlogon Remote Protocol (CVE-2020-1472) in molte campagne. Entrambe le vulnerabilità offrono agli aggressori un modo per ottenere l'accesso amministrativo ai controller di dominio. SentinelOne ha affermato di aver anche osservato gli attacchi di Black Basta sfruttando "NoPac", un exploit che combina due critici difetti di progettazione di Active Directory dell'anno scorso (CVE-2021-42278 ed CVE-2021-42287). Gli aggressori possono utilizzare l'exploit per aumentare i privilegi da quello di un normale utente di dominio fino all'amministratore di dominio.
SentinelOne, che ha iniziato a rintracciare Black Basta a giugno, ha osservato la catena di infezione a partire dal trojan Qakbot trasformato in malware. I ricercatori hanno scoperto che l'autore della minaccia utilizzava la backdoor per condurre ricognizioni sulla rete della vittima utilizzando una varietà di strumenti tra cui AdFind, due assembly .Net personalizzati, lo scanner di rete di SoftPerfect e WMI. È dopo quella fase che l'autore della minaccia tenta di sfruttare le varie vulnerabilità di Windows per spostarsi lateralmente, aumentare i privilegi e infine eliminare il ransomware. Trend Micro all'inizio di quest'anno ha identificato il gruppo Qakbot come vendere l'accesso a reti compromesse a Black Basta e altri operatori di ransomware.
"Valutiamo che sia molto probabile che l'operazione ransomware Black Basta abbia legami con FIN7", ha affermato SentinelLabs di SentinelOne in un post sul blog il 3 novembre. defenses è, o era, uno sviluppatore di FIN7."
Sofisticata minaccia ransomware
L'operazione ransomware Black Basta è emersa nell'aprile 2022 e ha causato almeno 90 vittime fino alla fine di settembre. Trend Micro ha descritto il ransomware come avere una sofisticata routine di crittografia che probabilmente utilizza binari univoci per ciascuna delle sue vittime. Molti dei suoi attacchi hanno comportato una tecnica di doppia estorsione in cui gli autori delle minacce prima esfiltrano i dati sensibili da un ambiente della vittima prima di crittografarli.
Nel terzo trimestre del 2022, Le infezioni da ransomware Black Basta hanno rappresentato il 9% di tutte le vittime di ransomware, posizionandosi al secondo posto dietro LockBit, che ha continuato a essere di gran lunga la minaccia ransomware più diffusa, con una quota del 35% di tutte le vittime, secondo i dati di Digital Shadows.
"Digital Shadows ha osservato l'operazione ransomware Black Basta che prende di mira l'industria dei beni e dei servizi industriali, inclusa la produzione, più di qualsiasi altro settore", afferma Nicole Hoffman, analista senior di intelligence sulle minacce informatiche, presso Digital Shadows, una società ReliaQuest. "Il settore delle costruzioni e dei materiali segue da vicino come il secondo settore più preso di mira fino ad oggi dall'operazione ransomware".
FIN7 è stata una spina nel fianco del settore della sicurezza per un decennio. Gli attacchi iniziali del gruppo si sono concentrati sul furto di dati di carte di credito e di debito. Ma nel corso degli anni, FIN7, che è stato anche identificato come Carbanak Group e Cobalt Group, si è diversificata anche in altre operazioni di criminalità informatica, inclusa la più recente nel regno del ransomware. Diversi fornitori, tra cui Digital Shadows, hanno sospettato che FIN7 avesse collegamenti a più gruppi di ransomware, tra cui REvil, Ryuk, DarkSide, BlackMatter e ALPHV.
"Quindi, non sarebbe sorprendente vedere un'altra potenziale associazione", questa volta con FIN7, afferma Hoffman. “Tuttavia, è importante notare che collegare insieme due gruppi di minacce non significa sempre che un gruppo gestisca lo spettacolo. È realisticamente possibile che i gruppi lavorino insieme”.
Secondo SentinelLabs, alcuni degli strumenti utilizzati dall'operazione Black Basta nei suoi attacchi suggeriscono che FIN7 stia tentando di dissociare la sua nuova attività ransomware dalla vecchia. Uno di questi strumenti è uno strumento personalizzato di evasione e compromissione della difesa che sembra essere stato scritto da uno sviluppatore FIN7 e non è stato osservato in nessun'altra operazione ransomware, ha affermato SentinelOne.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
