FIN7, o organizație de crimă cibernetică motivată financiar, despre care se estimează că a furat cu mult peste 1.2 miliarde de dolari de la apariția în 2012, se află în spatele Black Basta, una dintre cele mai prolifice familii de ransomware din acest an.
Aceasta este concluzia cercetătorilor de la SentinelOne pe baza a ceea ce spun ei că sunt diverse asemănări în tactici, tehnici și proceduri dintre campania Black Basta și campaniile anterioare FIN7. Printre acestea se numără asemănările într-un instrument pentru eludarea produselor de detectare și răspuns la punctele finale (EDR); asemănări în ambalatori pentru ambalarea farului Cobalt Strike și o ușă din spate numită Birddog; se suprapune codul sursă; și adrese IP suprapuse și infrastructura de găzduire.
O colecție de instrumente personalizate
Ancheta lui SentinelOne în activitățile lui Black Basta a dezvăluit, de asemenea, noi informații despre metodele și instrumentele de atac ale actorului amenințării. De exemplu, cercetătorii au descoperit că în multe atacuri Black Basta, actorii amenințărilor folosesc o versiune ascunsă în mod unic a instrumentului gratuit de linie de comandă ADFind pentru a culege informații despre mediul Active Directory al victimei.
Au descoperit că operatorii Black Basta îl exploatează pe cei de anul trecut PrintCoșmar vulnerabilitate în serviciul Windows Print Spooler (CVE-2021-34527) si ZeroLogon defect din 2020 în Windows Netlogon Remote Protocol (CVE-2020-1472) în multe campanii. Ambele vulnerabilități oferă atacatorilor o modalitate de a obține acces administrativ la controlerele de domeniu. SentinelOne a spus că a observat, de asemenea, atacurile Black Basta utilizând „NoPac”, un exploat combină două defecte critice de design Active Directory de anul trecut (CVE-2021-42278 și CVE-2021-42287). Atacatorii pot folosi exploit-ul pentru a escalada privilegiile de la cele ale unui utilizator obișnuit de domeniu până la administratorul de domeniu.
SentinelOne, care a început să urmărească Black Basta în iunie, a observat lanțul de infecții care începe cu dropperul Qakbot Troian devenit malware. Cercetătorii au descoperit că actorul amenințării folosește ușa din spate pentru a efectua recunoașteri în rețeaua victimei folosind o varietate de instrumente, inclusiv AdFind, două ansambluri .Net personalizate, scanerul de rețea SoftPerfect și WMI. După această etapă, actorul amenințării încearcă să exploateze diferitele vulnerabilități Windows pentru a se deplasa lateral, a escalada privilegiile și în cele din urmă a renunța la ransomware. Trend Micro la începutul acestui an a identificat grupul Qakbot drept vânzarea accesului la rețele compromise către Black Basta și alți operatori de ransomware.
„Evaluăm că este foarte probabil ca operațiunea de ransomware Black Basta să aibă legături cu FIN7”, a declarat SentinelLabs de la SentinelOne într-o postare pe blog pe 3 noiembrie. „În plus, evaluăm că este probabil ca dezvoltatorii din spatele instrumentelor lor să afecteze victima. defenses este sau a fost un dezvoltator pentru FIN7.”
Amenințare ransomware sofisticată
Operațiunea de ransomware Black Basta a apărut în aprilie 2022 și a făcut cel puțin 90 de victime până la sfârșitul lunii septembrie. Trend Micro a descris ransomware-ul ca având o rutină de criptare sofisticată care probabil folosește binare unice pentru fiecare dintre victimele sale. Multe dintre atacurile sale au implicat o tehnică de dublă extorcare în care actorii amenințărilor exfiltrează mai întâi date sensibile dintr-un mediu victimă înainte de a le cripta.
În al treilea trimestru al anului 2022, Infecțiile cu ransomware Black Basta au reprezentat 9% dintre toate victimele ransomware, plasându-l pe locul doi în urma LockBit, care a continuat să fie de departe cea mai răspândită amenințare ransomware - cu o cotă de 35% din toate victimele, conform datelor de la Digital Shadows.
„Digital Shadows a observat operațiunea de ransomware Black Basta care vizează industria de bunuri și servicii industriale, inclusiv producție, mai mult decât orice alt sector”, spune Nicole Hoffman, analist senior în informații privind amenințările cibernetice, la Digital Shadows, o companie ReliaQuest. „Sectorul construcțiilor și al materialelor urmează de aproape ca fiind a doua industrie cea mai vizată până în prezent de operațiunea de ransomware.”
FIN7 a fost un spin în partea industriei de securitate timp de un deceniu. Atacurile inițiale ale grupului s-au concentrat pe furtul de date a cardurilor de credit și de debit. Dar de-a lungul anilor, FIN7, care a fost urmărit și ca Grupul Carbanak și Grupul Cobalt, s-a diversificat și în alte operațiuni de criminalitate cibernetică, inclusiv cel mai recent în domeniul ransomware. Mai mulți furnizori, inclusiv Digital Shadows, au suspectat că FIN7 are legături către mai multe grupuri de ransomware, inclusiv REvil, Ryuk, DarkSide, BlackMatter și ALPHV.
„Deci, nu ar fi surprinzător să vedem încă o potențială asociere”, de data aceasta cu FIN7, spune Hoffman. „Cu toate acestea, este important să rețineți că legarea a două grupuri de amenințări nu înseamnă întotdeauna că un grup conduce emisiunea. Este realist posibil ca grupurile să lucreze împreună.”
Potrivit SentinelLabs, unele dintre instrumentele pe care operațiunea Black Basta le folosește în atacurile sale sugerează că FIN7 încearcă să disocieze noua sa activitate ransomware de cea veche. Un astfel de instrument este un instrument personalizat de evaziune și deteriorare a apărării care pare să fi fost scris de un dezvoltator FIN7 și nu a fost observat în nicio altă operațiune de ransomware, a spus SentinelOne.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
