FIN7, een financieel gemotiveerde cybercriminaliteitsorganisatie die naar schatting meer dan 1.2 miljard dollar heeft gestolen sinds ze in 2012 opdook, zit achter Black Basta, een van de meest productieve ransomwarefamilies van dit jaar.
Dat is de conclusie van onderzoekers van SentinelOne op basis van wat zij zeggen verschillende overeenkomsten zijn in de tactieken, technieken en procedures tussen de Black Basta-campagne en eerdere FIN7-campagnes. Onder hen zijn overeenkomsten in een tool voor het omzeilen van producten voor endpointdetectie en -respons (EDR); overeenkomsten in packers voor het inpakken van Cobalt Strike-baken en een achterdeur genaamd Birddog; broncode overlapt; en overlappende IP-adressen en hostinginfrastructuur.
Een verzameling aangepaste tools
SentinelOne's onderzoek in de activiteiten van Black Basta heeft ook nieuwe informatie opgeleverd over de aanvalsmethoden en -tools van de aanvaller. De onderzoekers ontdekten bijvoorbeeld dat bij veel Black Basta-aanvallen de aanvallers een uniek verborgen versie van het gratis opdrachtregelprogramma ADFind gebruiken om informatie te verzamelen over de Active Directory-omgeving van een slachtoffer.
Ze ontdekten dat Black Basta-operators die van vorig jaar uitbuiten AfdrukkenNachtmerrie kwetsbaarheid in de Windows Print Spooler-service (CVE-2021-34527) en de NulLogon fout uit 2020 in Windows Netlogon Remote Protocol (CVE-2020-1472) in veel campagnes. Beide kwetsbaarheden bieden aanvallers een manier om beheerderstoegang te krijgen op domeincontrollers. SentinelOne zei dat het ook Black Basta-aanvallen had waargenomen die gebruikmaken van "NoPac", een exploit die combineert twee kritieke Active Directory-ontwerpfouten van afgelopen jaar (CVE-2021-42278 en CVE-2021-42287). Aanvallers kunnen de exploit gebruiken om de rechten van een gewone domeingebruiker te verhogen tot een domeinbeheerder.
SentinelOne, dat in juni begon met het volgen van Black Basta, observeerde de infectieketen die begon met de Qakbot Trojan-veranderde-malware-dropper. Onderzoekers ontdekten dat de bedreigingsactor de achterdeur gebruikte om verkenningen uit te voeren op het netwerk van het slachtoffer met behulp van verschillende tools, waaronder AdFind, twee aangepaste .Net-assemblages, de netwerkscanner van SoftPerfect en WMI. Het is na die fase dat de dreigingsactor probeert de verschillende Windows-kwetsbaarheden te misbruiken om lateraal te bewegen, privileges te escaleren en uiteindelijk de ransomware te laten vallen. Trend Micro identificeerde eerder dit jaar de Qakbot-groep als toegang tot gecompromitteerde netwerken verkopen aan Black Basta en andere ransomware-operators.
"We beoordelen het zeer waarschijnlijk dat de Black Basta-ransomware-operatie banden heeft met FIN7", zei SentinelLabs van SentinelOne in een blogpost op 3 november. "Bovendien beoordelen we het waarschijnlijk dat de ontwikkelaar(s) achter hun tools het slachtoffer verdediging is, of was, een ontwikkelaar voor FIN7.โ
Geavanceerde ransomware-dreiging
De Black Basta-ransomware-operatie dook op in april 2022 en heeft tot eind september minstens 90 slachtoffers geรซist. Trend Micro heeft de ransomware beschreven als met een geavanceerde coderingsroutine die waarschijnlijk unieke binaire bestanden gebruikt voor elk van zijn slachtoffers. Bij veel van zijn aanvallen is gebruik gemaakt van een dubbele afpersingstechniek waarbij de bedreigingsactoren eerst gevoelige gegevens uit een slachtofferomgeving exfiltreren voordat ze deze versleutelen.
In het derde kwartaal van 2022 Black Basta-ransomware-infecties waren goed voor 9% van alle ransomware-slachtoffers, waardoor het op de tweede plaats komt achter LockBit, dat verreweg de meest voorkomende ransomware-dreiging bleef - met een aandeel van 35% van alle slachtoffers, volgens gegevens van Digital Shadows.
"Digital Shadows heeft de Black Basta-ransomware-operatie waargenomen die zich meer dan welke andere sector dan ook richt op de industriรซle goederen- en dienstenindustrie, inclusief de productie", zegt Nicole Hoffman, senior cyber-threat intelligence-analist bij Digital Shadows, een ReliaQuest-bedrijf. "De bouw- en materialensector volgt op de voet als de op รฉรฉn na meest gerichte industrie tot nu toe door de ransomware-operatie."
FIN7 is al tien jaar een doorn in het oog van de beveiligingsbranche. De eerste aanvallen van de groep waren gericht op diefstal van creditcard- en debetkaartgegevens. Maar in de loop der jaren heeft FIN7, dat ook wordt gevolgd als de Carbanak Group en Cobalt Group, zich ook gediversifieerd naar andere cybercriminaliteitsoperaties, waaronder meest recentelijk in het domein van ransomware. Verschillende leveranciers, waaronder Digital Shadows, vermoeden dat FIN7 links heeft naar meerdere ransomwaregroepen, waaronder REvil, Ryuk, DarkSide, BlackMatter en ALPHV.
"Het zou dus niet verwonderlijk zijn om nog een potentiรซle associatie te zien", dit keer met FIN7, zegt Hoffman. โHet is echter belangrijk op te merken dat het aan elkaar koppelen van twee dreigingsgroepen niet altijd betekent dat รฉรฉn groep de touwtjes in handen heeft. Het is realistisch mogelijk dat de groepen samenwerken.โ
Volgens SentinelLabs suggereren sommige tools die de Black Basta-operatie gebruikt bij zijn aanvallen dat FIN7 probeert zijn nieuwe ransomware-activiteit los te koppelen van de oude. Een van die tools is een op maat gemaakte tool voor het ontduiken en beschadigen van de verdediging die lijkt te zijn geschreven door een FIN7-ontwikkelaar en die niet is waargenomen bij een andere ransomware-operatie, zei SentinelOne.
