FIN7, en økonomisk motivert organisasjon for nettkriminalitet som anslås å ha stjålet godt over 1.2 milliarder dollar siden dukket opp i 2012, står bak Black Basta, en av årets mest produktive løsepengevarefamilier.
Det er konklusjonen til forskere ved SentinelOne basert på det de sier er ulike likheter i taktikken, teknikkene og prosedyrene mellom Black Basta-kampanjen og tidligere FIN7-kampanjer. Blant dem er likheter i et verktøy for å unngå endepunktdeteksjon og -respons (EDR)-produkter; likheter i pakkere for pakking av Cobalt Strike beacon og en bakdør kalt Birddog; kildekode overlapper; og overlappende IP-adresser og vertsinfrastruktur.
En samling tilpassede verktøy
SentinelOnes etterforskning i Black Bastas aktiviteter avdekket også ny informasjon om trusselaktørens angrepsmetoder og verktøy. For eksempel fant forskerne at i mange Black Basta-angrep bruker trusselaktørene en unikt tilslørt versjon av det gratis kommandolinjeverktøyet ADFind for å samle informasjon om et offers Active Directory-miljø.
De fant ut at Black Basta-operatører utnytter fjorårets Print Nightmare sårbarhet i Windows Print Spooler-tjeneste (CVE-2021-34527) Og ZeroLogon feil fra 2020 i Windows Netlogon Remote Protocol (CVE-2020-1472) i mange kampanjer. Begge sårbarhetene gir angripere en måte å få administrativ tilgang på domenekontrollere. SentinelOne sa at den også observerte Black Basta-angrep som utnyttet "NoPac", en utnyttelse som kombinerer to kritiske Active Directory-designfeil fra i fjor (CVE-2021-42278 og CVE-2021-42287). Angripere kan bruke utnyttelsen til å eskalere privilegier fra en vanlig domenebruker helt til domeneadministrator.
SentinelOne, som begynte å spore Black Basta i juni, observerte infeksjonskjeden som begynte med Qakbot Trojan-som ble skadelig programvare dropper. Forskere fant at trusselaktøren brukte bakdøren til å foreta rekognosering på offernettverket ved å bruke en rekke verktøy, inkludert AdFind, to tilpassede .Net-enheter, SoftPerfects nettverksskanner og WMI. Det er etter det stadiet at trusselaktøren forsøker å utnytte de forskjellige Windows-sårbarhetene for å flytte sideveis, eskalere privilegier og til slutt slippe løsepengevaren. Trend Micro identifiserte tidligere i år Qakbot-gruppen som selge tilgang til kompromitterte nettverk til Black Basta og andre løsepengevareoperatører.
"Vi vurderer at det er høyst sannsynlig at Black Basta løsepenge-operasjonen har bånd med FIN7," sa SentinelOnes SentinelLabs i et blogginnlegg 3. november. "Vi vurderer dessuten at det er sannsynlig at utviklerne bak verktøyene deres for å svekke offeret forsvar er, eller var, en utvikler for FIN7."
Sofistikert Ransomware-trussel
Black Basta-ransomware-operasjonen dukket opp i april 2022 og har krevd minst 90 ofre gjennom slutten av september. Trend Micro har beskrevet løsepengevaren som ha en sofistikert krypteringsrutine som sannsynligvis bruker unike binærfiler for hvert av ofrene. Mange av angrepene har involvert en dobbel utpressingsteknikk der trusselaktørene først eksfiltrerer sensitive data fra et offermiljø før de krypterer dem.
I tredje kvartal 2022, Black Basta ransomware-infeksjoner utgjorde 9 % av alle løsepenge-ofre, og plasserte den på andreplass bak LockBit, som fortsatte å være den desidert mest utbredte løsepengevare-trusselen – med en andel på 35 % av alle ofre, ifølge data fra Digital Shadows.
"Digital Shadows har observert Black Basta-ransomware-operasjonen rettet mot industrivare- og tjenesteindustrien, inkludert produksjon, mer enn noen annen sektor," sier Nicole Hoffman, senior etterretningsanalytiker for cybertrusler, hos Digital Shadows, et ReliaQuest-selskap. "Bygg- og materialsektoren følger tett etter som den nest mest målrettede industrien til dags dato av løsepengevareoperasjonen."
FIN7 har vært en torn i øyet for sikkerhetsbransjen i et tiår. Gruppens første angrep fokuserte på kreditt- og debetkortdatatyveri. Men i løpet av årene har FIN7, som også har blitt sporet som Carbanak Group og Cobalt Group, også diversifisert seg til andre cyberkriminalitetsoperasjoner, inkludert sist til løsepengevareområdet. Flere leverandører – inkludert Digital Shadows – har mistenkt FIN7 for å ha lenker til flere løsepengevaregrupper, inkludert REvil, Ryuk, DarkSide, BlackMatter og ALPHV.
"Så, det ville ikke være overraskende å se enda en potensiell assosiasjon," denne gangen med FIN7, sier Hoffman. "Det er imidlertid viktig å merke seg at det å knytte to trusselgrupper sammen ikke alltid betyr at en gruppe driver showet. Det er realistisk mulig at gruppene jobber sammen.»
Ifølge SentinelLabs tyder noen av verktøyene som Black Basta-operasjonen bruker i sine angrep på at FIN7 prøver å skille den nye løsepengevareaktiviteten fra den gamle. Et slikt verktøy er et tilpasset forsvarsunndragelse og svekkelsesverktøy som ser ut til å være skrevet av en FIN7-utvikler og ikke har blitt observert i noen annen løsepenge-operasjon, sa SentinelOne.
