FIN7, uma organização de crimes cibernéticos com motivação financeira que se estima ter roubado bem mais de US$ 1.2 bilhão desde que surgiu em 2012, está por trás do Black Basta, uma das famílias de ransomware mais prolíficas deste ano.
Essa é a conclusão dos pesquisadores do SentinelOne com base no que eles dizem ser várias semelhanças nas táticas, técnicas e procedimentos entre a campanha Black Basta e as campanhas FIN7 anteriores. Entre eles estão semelhanças em uma ferramenta para evitar produtos de detecção e resposta de endpoint (EDR); semelhanças em empacotadores para embalar o farol Cobalt Strike e um backdoor chamado Birddog; sobreposições de código-fonte; e sobreposição de endereços IP e infraestrutura de hospedagem.
Uma coleção de ferramentas personalizadas
Investigação do SentinelOne nas atividades de Black Basta também descobriu novas informações sobre os métodos e ferramentas de ataque do ator da ameaça. Por exemplo, os pesquisadores descobriram que em muitos ataques Black Basta, os agentes da ameaça usam uma versão ofuscada exclusivamente da ferramenta de linha de comando gratuita ADFind para coletar informações sobre o ambiente do Active Directory da vítima.
Eles descobriram que os operadores do Black Basta estão explorando o ano passado Imprimir Pesadelo vulnerabilidade no serviço Windows Print Spooler (CVE-2021-34527) E do Logon Zero falha de 2020 no protocolo remoto Netlogon do Windows (CVE-2020-1472) em muitas campanhas. Ambas as vulnerabilidades oferecem aos invasores uma maneira de obter acesso administrativo aos controladores de domínio. SentinelOne disse que também observou ataques Black Basta aproveitando “NoPac”, uma exploração que combina duas falhas críticas de design do Active Directory desde o ano passado (CVE-2021-42278 e CVE-2021-42287). Os invasores podem usar a exploração para escalar privilégios de um usuário de domínio regular até o administrador do domínio.
O SentinelOne, que começou a rastrear o Black Basta em junho, observou a cadeia de infecção começando com o Trojan Qakbot que virou malware. Os pesquisadores descobriram que o agente da ameaça usava o backdoor para realizar o reconhecimento na rede da vítima usando uma variedade de ferramentas, incluindo AdFind, dois assemblies .Net personalizados, o scanner de rede da SoftPerfect e WMI. É depois desse estágio que o agente da ameaça tenta explorar as diversas vulnerabilidades do Windows para se mover lateralmente, aumentar privilégios e, eventualmente, descartar o ransomware. A Trend Micro no início deste ano identificou o grupo Qakbot como vendendo acesso a redes comprometidas para Black Basta e outros operadores de ransomware.
“Avaliamos que é altamente provável que a operação de ransomware Black Basta tenha ligações com FIN7”, disse o SentinelLabs da SentinelOne em uma postagem no blog em 3 de novembro. Defenses é, ou foi, um desenvolvedor do FIN7.”
Ameaça sofisticada de ransomware
A operação de ransomware Black Basta surgiu em abril de 2022 e fez pelo menos 90 vítimas até o final de setembro. A Trend Micro descreveu o ransomware como ter uma rotina de criptografia sofisticada que provavelmente usa binários exclusivos para cada uma de suas vítimas. Muitos de seus ataques envolveram uma técnica de dupla extorsão, em que os agentes da ameaça primeiro exfiltram dados confidenciais do ambiente da vítima antes de criptografá-los.
No terceiro trimestre de 2022, As infecções por ransomware Black Basta representaram 9% de todas as vítimas de ransomware, ficando em segundo lugar atrás do LockBit, que continuou a ser de longe a ameaça de ransomware mais prevalente – com uma participação de 35% de todas as vítimas, de acordo com dados da Digital Shadows.
“A Digital Shadows observou a operação de ransomware Black Basta visando a indústria de bens industriais e serviços, incluindo a manufatura, mais do que qualquer outro setor”, disse Nicole Hoffman, analista sênior de inteligência de ameaças cibernéticas da Digital Shadows, uma empresa ReliaQuest. “O setor de construção e materiais segue logo atrás como a segunda indústria mais visada até o momento pela operação de ransomware.”
FIN7 tem sido uma pedra no sapato da indústria de segurança há uma década. Os ataques iniciais do grupo se concentraram no roubo de dados de cartões de crédito e débito. Mas ao longo dos anos, o FIN7, que também foi rastreado como Grupo Carbanak e Grupo Cobalt, diversificou-se também para outras operações de crimes cibernéticos, incluindo, mais recentemente, o domínio do ransomware. Vários fornecedores – incluindo Digital Shadows – suspeitaram que o FIN7 tinha links para vários grupos de ransomware, incluindo REvil, Ryuk, DarkSide, BlackMatter e ALPHV.
“Portanto, não seria surpreendente ver mais uma associação potencial”, desta vez com o FIN7, diz Hoffman. “No entanto, é importante notar que unir dois grupos de ameaças nem sempre significa que um grupo está comandando o show. É realisticamente possível que os grupos estejam trabalhando juntos.”
De acordo com o SentinelLabs, algumas das ferramentas que a operação Black Basta usa em seus ataques sugerem que o FIN7 está tentando desassociar sua nova atividade de ransomware da antiga. Uma dessas ferramentas é uma ferramenta personalizada de evasão e comprometimento de defesa que parece ter sido escrita por um desenvolvedor FIN7 e não foi observada em nenhuma outra operação de ransomware, disse SentinelOne.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
