FIN7, motywowana finansowo organizacja cyberprzestępcza, która według szacunków ukradła znacznie ponad 1.2 miliarda dolarów od czasu ujawnienia się w 2012 roku, stoi za Black Basta, jedną z najbardziej płodnych rodzin oprogramowania ransomware w tym roku.
Do takiego wniosku doszli badacze z SentinelOne na podstawie różnych podobieństw w taktyce, technikach i procedurach pomiędzy kampanią Black Basta a poprzednimi kampaniami FIN7. Wśród nich znajdują się podobieństwa w narzędziu pozwalającym uniknąć produktów służących do wykrywania i reagowania w punktach końcowych (EDR); podobieństwa w pakerach do pakowania sygnalizatora Cobalt Strike i backdoora o nazwie Birddog; kod źródłowy pokrywa się; oraz nakładające się adresy IP i infrastruktura hostingowa.
Kolekcja niestandardowych narzędzi
Dochodzenie SentinelOne w działania Black Basta odkryła także nowe informacje na temat metod i narzędzi ataku ugrupowania zagrażającego. Na przykład badacze odkryli, że w wielu atakach Black Basta przestępcy wykorzystują wyjątkowo zaciemnioną wersję bezpłatnego narzędzia wiersza poleceń ADFind do zbierania informacji o środowisku Active Directory ofiary.
Odkryli, że operatorzy Black Basta wykorzystują zeszłoroczną sytuację DrukujKoszmar luka w usłudze buforu wydruku systemu Windows (CVE-2021-34527) I Zero logowania wada z 2020 roku w protokole zdalnym Windows Netlogon (CVE-2020-1472) w wielu kampaniach. Obie luki umożliwiają atakującym uzyskanie dostępu administracyjnego do kontrolerów domeny. SentinelOne stwierdziło, że zaobserwowało również ataki Black Basta wykorzystujące exploit „NoPac”. łączy w sobie dwie krytyczne wady projektowe Active Directory z ostatniego roku (CVE-2021-42278 i CVE-2021-42287). Osoby atakujące mogą wykorzystać exploit do eskalacji uprawnień od zwykłego użytkownika domeny aż do administratora domeny.
SentinelOne, który rozpoczął śledzenie Black Basta w czerwcu, zaobserwował łańcuch infekcji rozpoczynający się od trojana Qakbot, który zamienił się w złośliwe oprogramowanie. Badacze odkryli, że ugrupowanie zagrażające wykorzystuje backdoora do przeprowadzania rekonesansu w sieci ofiary przy użyciu różnych narzędzi, w tym AdFind, dwóch niestandardowych zestawów .Net, skanera sieci SoftPerfect i WMI. Dopiero po tym etapie osoba zagrażająca próbuje wykorzystać różne luki w zabezpieczeniach systemu Windows, aby przejść dalej, zwiększyć uprawnienia i ostatecznie porzucić oprogramowanie ransomware. Na początku tego roku firma Trend Micro określiła grupę Qakbot jako sprzedaż dostępu do zainfekowanych sieci do Black Basta i innych operatorów oprogramowania ransomware.
„Oceniamy, że jest wysoce prawdopodobne, że operacja oprogramowania ransomware Black Basta ma powiązania z FIN7” – stwierdził SentinelLabs należący do SentinelOne w poście na blogu z 3 listopada. „Ponadto oceniamy, że jest prawdopodobne, że programiści stojący za swoimi narzędziami w celu wyrządzenia szkody ofierze Defenses jest lub był twórcą FIN7.”
Wyrafinowane zagrożenie ransomware
Operacja ransomware Black Basta pojawiła się w kwietniu 2022 r. i do końca września pochłonęła co najmniej 90 ofiar. Firma Trend Micro określiła to oprogramowanie ransomware jako posiadające wyrafinowaną procedurę szyfrowania który prawdopodobnie używa unikalnych plików binarnych dla każdej ze swoich ofiar. Wiele z jego ataków opierało się na technice podwójnego wymuszenia, podczas której przestępcy najpierw wydobywają wrażliwe dane ze środowiska ofiary, a następnie je szyfrują.
W III kwartale 2022 r. Infekcje ransomware Black Basta stanowiły 9% wszystkich ofiar oprogramowania ransomware, co plasuje je na drugim miejscu za LockBitem, który w dalszym ciągu jest zdecydowanie najpowszechniejszym zagrożeniem oprogramowaniem ransomware — z 35% udziałem wszystkich ofiar, według danych Digital Shadows.
„Digital Shadows zaobserwowało operację oprogramowania ransomware Black Basta, którego celem jest branża towarów i usług przemysłowych, w tym produkcja, bardziej niż jakikolwiek inny sektor” – mówi Nicole Hoffman, starszy analityk ds. wywiadu dotyczącego cyberzagrożeń w Digital Shadows, firmie ReliaQuest. „Sektor budowlany i materiałowy znajduje się tuż za nim, jako druga branża najczęściej atakowana przez oprogramowanie ransomware”.
FIN7 od dziesięciu lat jest solą w oku branży zabezpieczeń. Początkowe ataki grupy skupiały się na kradzieży danych kart kredytowych i debetowych. Jednak z biegiem lat FIN7, który był również śledzony jako Grupa Carbanak i Grupa Cobalt, rozszerzył swoją działalność również na inne operacje cyberprzestępcze, w tym ostatnio w dziedzinę oprogramowania ransomware. Kilku dostawców — w tym Digital Shadows — podejrzewało, że FIN7 ma linki do wielu grup oprogramowania ransomware, w tym REvil, Ryuk, DarkSide, BlackMatter i ALPHV.
„Nie byłoby zatem zaskoczeniem pojawienie się kolejnego potencjalnego powiązania”, tym razem z FIN7, mówi Hoffman. „Należy jednak pamiętać, że połączenie dwóch grup zagrożeń nie zawsze oznacza, że jedna grupa rządzi. Jest realistycznie możliwe, że grupy współpracują.”
Według SentinelLabs niektóre narzędzia wykorzystywane przez operację Black Basta w swoich atakach sugerują, że FIN7 próbuje oddzielić swoją nową aktywność oprogramowania ransomware od starej. Jednym z takich narzędzi jest niestandardowe narzędzie do unikania zabezpieczeń i naruszania zabezpieczeń, które prawdopodobnie zostało napisane przez programistę FIN7 i nie zostało zaobserwowane w żadnym innym działaniu oprogramowania ransomware, powiedział SentinelOne.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
