FIN7, ארגון פשעי סייבר ממניעים פיננסיים, שלפי ההערכות גנב הרבה יותר מ-1.2 מיליארד דולר מאז עלה לשטח ב-2012, עומד מאחורי Black Basta, אחת ממשפחות תוכנות הכופר הפוריות ביותר השנה.
זו המסקנה של חוקרים ב-SentinelOne בהתבסס על מה שהם אומרים שהם קווי דמיון שונים בטקטיקות, בטכניקות ובנהלים בין קמפיין Black Basta לבין קמפיינים קודמים של FIN7. ביניהם יש קווי דמיון בכלי להתחמקות ממוצרי זיהוי ותגובה (EDR); קווי דמיון באורזים לאריזת משואת Cobalt Strike ודלת אחורית בשם Birddog; קוד מקור חופף; וכתובות IP חופפות ותשתית אירוח.
אוסף של כלים מותאמים אישית
החקירה של SentinelOne לתוך הפעילות של בלאק באסטה גם חשף מידע חדש על שיטות התקיפה וכלים של שחקן האיום. לדוגמה, החוקרים גילו כי בהתקפות Black Basta רבות, שחקני האיום משתמשים בגרסה מעורפלת ייחודית של כלי שורת הפקודה החינמי ADFind לאיסוף מידע על סביבת Active Directory של הקורבן.
הם גילו שמפעילי Black Basta מנצלים את זה של השנה שעברה PrintNightmare פגיעות בשירות Windows Print Spooler (CVE-2021-34527) ו ZeroLogon פגם משנת 2020 בפרוטוקול המרוחק של Windows Netlogon (CVE-2020-1472) בקמפיינים רבים. שתי הפגיעויות נותנות לתוקפים דרך להשיג גישה מנהלתית בבקרי תחום. SentinelOne אמרה שהיא גם צפה בהתקפות Black Basta הממנפות את "NoPac", ניצול זה משלב שני פגמי עיצוב קריטיים של Active Directory משנה שעברה (CVE-2021-42278 ו CVE-2021-42287). תוקפים יכולים להשתמש בניצול כדי להסלים הרשאות מאלה של משתמש דומיין רגיל עד למנהל הדומיין.
SentinelOne, שהחלה לעקוב אחר Black Basta ביוני, צפה בשרשרת ההדבקה שהחלה במטפטפת Qakbot Trojan שהפכה לתוכנה זדונית. חוקרים מצאו ששחקן האיום משתמש בדלת האחורית כדי לבצע סיור ברשת הקורבן באמצעות מגוון כלים כולל AdFind, שני מכלולי .Net מותאמים אישית, סורק הרשת של SoftPerfect ו-WMI. זה לאחר השלב הזה ששחקן האיום מנסה לנצל את הפגיעויות השונות של Windows כדי לנוע לרוחב, להסלים הרשאות ובסופו של דבר להפיל את תוכנת הכופר. טרנד מיקרו מוקדם יותר השנה זיהתה את קבוצת Qakbot כ מכירת גישה לרשתות שנפגעו לבלאק באסטה ולמפעילי תוכנות כופר אחרות.
"אנו מעריכים שיש סבירות גבוהה שלפעולת הכופר של Black Basta יש קשרים עם FIN7," אמר SentinelLabs של SentinelOne בפוסט בבלוג ב-3 בנובמבר. "יתר על כן, אנו מעריכים שסביר להניח שהמפתח/ים שעומדים מאחורי הכלים שלהם לפגוע בקורבן Defens הוא, או היה, מפתח עבור FIN7."
איום תוכנת כופר מתוחכם
פעולת הכופר של Black Basta עלתה באפריל 2022 וגבתה לפחות 90 קורבנות עד סוף ספטמבר. Trend Micro תיארה את תוכנת הכופר כ בעל שגרת הצפנה מתוחכמת שכנראה משתמש בבינאריים ייחודיים עבור כל אחד מהקורבנות שלו. רבות מהתקפותיה כללו טכניקת סחיטה כפולה שבה שחקני האיום מוציאים תחילה נתונים רגישים מסביבת קורבן לפני שהצפינו אותם.
ברבעון השלישי של 2022, זיהומי כופר של Black Basta היוו 9% מכל קורבנות תוכנות הכופר, והציבו אותה במקום השני אחרי LockBit, שהמשיכה להיות איום תוכנות הכופר הנפוץ ביותר - עם נתח של 35% מכלל הקורבנות, על פי נתונים מ-Digital Shadows.
"Digital Shadows צפה בפעולת הכופר של Black Basta המתמקדת בתעשיית הסחורות והשירותים התעשייתיים, כולל ייצור, יותר מכל מגזר אחר", אומרת ניקול הופמן, אנליסטית בכירה למודיעין איומי סייבר, ב-Digital Shadows, חברת ReliaQuest. "תחום הבנייה והחומרים עוקב אחריו כענף השני הכי ממוקד עד כה על ידי פעולת תוכנת הכופר."
FIN7 היה קוץ בהיבט של תעשיית האבטחה כבר עשור. ההתקפות הראשוניות של הקבוצה התמקדו בגניבת נתוני אשראי וכרטיסי חיוב. עם זאת, במהלך השנים, FIN7, אשר עוקב גם כקבוצת Carbanak ו-Cobalt Group, התגוונת גם לפעולות אחרות של פשעי סייבר, לרבות לאחרונה לתחום תוכנת הכופר. מספר ספקים - כולל Digital Shadows - חשדו ב-FIN7 שיש לו קישורים למספר קבוצות של תוכנות כופר, כולל REvil, Ryuk, DarkSide, BlackMatter ו-ALPHV.
"לכן, זה לא יהיה מפתיע לראות עוד אסוציאציה פוטנציאלית", הפעם עם FIN7, אומר הופמן. "עם זאת, חשוב לציין שקישור בין שתי קבוצות איומים לא תמיד אומר שקבוצה אחת מנהלת את התוכנית. זה אפשרי באופן ריאלי שהקבוצות פועלות יחד".
לפי SentinelLabs, חלק מהכלים שבהם משתמשת פעולת הבלאק באסטה בהתקפותיה מצביעים על כך ש-FIN7 מנסה לנתק את פעילות תוכנת הכופר החדשה שלה מהישנה. כלי אחד כזה הוא כלי מותאם אישית להתחמקות ופגיעה בהגנה שנראה כאילו נכתב על ידי מפתח FIN7 ולא נצפה בשום פעולת כופר אחרת, אמר SentinelOne.
