FIN7 は、1.2 年に出現して以来、2012 億ドル以上を盗んだと推定される金銭目的のサイバー犯罪組織であり、今年最も多作なランサムウェア ファミリーの XNUMX つである Black Basta の背後にあります。
これは、Black Basta キャンペーンと以前の FIN7 キャンペーンとの間の戦術、手法、および手順のさまざまな類似点に基づく、SentinelOne の研究者の結論です。 その中には、エンドポイントの検出と対応 (EDR) 製品を回避するためのツールの類似点があります。 Cobalt Strike ビーコンと Birddog と呼ばれるバックドアをパッキングするためのパッカーの類似点。 ソース コードが重複しています。 重複する IP アドレスとホスティング インフラストラクチャ。
カスタム ツールのコレクション
SentinelOne の調査 Black Basta の活動を調査した結果、攻撃者の攻撃方法とツールに関する新しい情報も明らかになりました。 たとえば、多くの Black Basta 攻撃では、攻撃者が独自に難読化されたバージョンの無料のコマンドライン ツール ADFind を使用して、被害者の Active Directory 環境に関する情報を収集していることを研究者は発見しました。
彼らは、Black Basta のオペレーターが昨年の脆弱性を悪用していることを発見しました。 プリントナイトメア Windows Print Spooler サービスの脆弱性 (CVE-2021-34527)と ゼロログオン Windows Netlogon リモート プロトコルの 2020 年からの欠陥 (CVE-2020-1472) 多くのキャンペーンで。 両方の脆弱性により、攻撃者はドメイン コントローラーの管理者アクセスを取得することができます。 SentinelOne は、「NoPac」を利用した Black Basta 攻撃も観測したと述べています。 XNUMX つの重大な Active Directory 設計上の欠陥を組み合わせる 昨年から(CVE-2021-42278 および CVE-2021-42287)。 攻撃者はエクスプロイトを使用して、通常のドメイン ユーザーの特権からドメイン管理者にまで特権をエスカレートできます。
XNUMX 月に Black Basta の追跡を開始した SentinelOne は、Qakbot トロイの木馬がマルウェア ドロッパーに変わったことに始まる感染チェーンを観察しました。 研究者は、AdFind、XNUMX つのカスタム .Net アセンブリ、SoftPerfect のネットワーク スキャナー、WMI などのさまざまなツールを使用して、バックドアを使用して被害者のネットワークを偵察している攻撃者を発見しました。 攻撃者がさまざまな Windows の脆弱性を悪用して横方向に移動し、権限を昇格させ、最終的にランサムウェアをドロップしようとするのは、この段階の後です。 トレンドマイクロは今年、Qakbot グループを次のように特定しました。 侵害されたネットワークへのアクセスを販売する Black Basta やその他のランサムウェア オペレーターに。
SentinelOne の SentinelLabs は 7 月 3 日のブログ投稿で次のように述べています。 Defenses は FIN7 の開発者である、または開発者でした。」
高度なランサムウェアの脅威
Black Basta ランサムウェア オペレーションは 2022 年 90 月に表面化し、XNUMX 月末までに少なくとも XNUMX 人の犠牲者を出した. トレンドマイクロは、ランサムウェアを次のように説明しています。 洗練された暗号化ルーチンを持つ 被害者ごとに一意のバイナリを使用する可能性があります。 その攻撃の多くは、脅威アクターが暗号化する前に被害者の環境から機密データを盗み出す二重恐喝手法を使用しています。
2022年の第XNUMX四半期には、 Black Basta ランサムウェアの感染が 9% を占めた Digital Shadows のデータによると、すべてのランサムウェア被害者の 35% を占め、ランサムウェアの脅威の中で最も蔓延し続けている LockBit に次ぐ第 XNUMX 位でした。
「Digital Shadows は、Black Basta ランサムウェアの活動が、他のどのセクターよりも製造業を含む工業製品やサービス産業を標的にしていることを確認しています」と、ReliaQuest 傘下の Digital Shadows でシニア サイバー脅威インテリジェンス アナリストを務める Nicole Hoffman 氏は述べています。 「これまでにランサムウェア攻撃の標的となった業界の第 XNUMX 位は、建設および資材業界です。」
FIN7 は 7 年間、セキュリティ業界の悩みの種でした。 このグループの最初の攻撃は、クレジット カードとデビット カードのデータの盗難に焦点を当てていました。 しかし、何年にもわたって、Carbanak Group および Cobalt Group としても追跡されている FIN7 は、最近ではランサムウェアの領域を含め、他のサイバー犯罪活動にも多様化しています。 Digital Shadows を含むいくつかのベンダーは、FINXNUMX が複数のランサムウェア グループ (REvil、Ryuk、DarkSide、BlackMatter、ALPHV など) にリンクしていると疑っています。
「したがって、さらに別の潜在的な関連性が見られても驚くことではありません」と今回はFIN7とホフマンは言います。 「しかし、XNUMX つの脅威グループを結びつけても、常に XNUMX つのグループがショーを運営しているとは限らないことに注意することが重要です。 グループが協力している可能性は現実的にあります。」
SentinelLabs によると、Black Basta オペレーションが攻撃に使用するツールのいくつかは、FIN7 が新しいランサムウェア アクティビティと古いランサムウェア アクティビティの関連付けを解除しようとしていることを示唆しています。 そのようなツールの 7 つは、FINXNUMX 開発者によって作成されたように見えるカスタムの防御回避および障害ツールであり、他のランサムウェア操作では確認されていません、と SentinelOne は述べています。
