FIN7, финансово мотивированная киберпреступная организация, которая, по оценкам, с момента своего появления в 1.2 году украла более 2012 миллиарда долларов, стоит за Black Basta, одним из самых плодовитых семейств программ-вымогателей в этом году.
К такому выводу пришли исследователи из SentinelOne на основании, по их словам, различных сходств в тактике, методах и процедурах кампании Black Basta и предыдущих кампаний FIN7. Среди них — сходство в инструменте для обхода продуктов обнаружения и реагирования на конечные точки (EDR); сходство упаковщиков для упаковки маяка Cobalt Strike и бэкдора под названием Birddog; исходный код перекрывается; и перекрытие IP-адресов и инфраструктуры хостинга.
Коллекция индивидуальных инструментов
Расследование SentinelOne В ходе расследования деятельности Black Basta также была обнаружена новая информация о методах и инструментах атак злоумышленника. Например, исследователи обнаружили, что во многих атаках Black Basta злоумышленники используют уникальную запутанную версию бесплатного инструмента командной строки ADFind для сбора информации о среде Active Directory жертвы.
Выяснилось, что операторы «Черной Басты» эксплуатируют прошлогодние Распечатать уязвимость в службе диспетчера очереди печати Windows (CVE-2021-34527) И ZeroLogon ошибка 2020 года в удаленном протоколе Windows Netlogon (CVE-2020-1472) во многих кампаниях. Обе уязвимости дают злоумышленникам возможность получить административный доступ к контроллерам домена. SentinelOne заявила, что также наблюдала атаки Black Basta с использованием «NoPac», эксплойта, который сочетает в себе два критических недостатка конструкции Active Directory с прошлого года(CVE-2021-42278 и CVE-2021-42287). Злоумышленники могут использовать эксплойт для повышения привилегий от обычного пользователя домена до администратора домена.
SentinelOne, которая начала отслеживать Black Basta в июне, наблюдала цепочку заражения, начинающуюся с трояна Qakbot, ставшего вредоносным ПО. Исследователи обнаружили, что злоумышленник использовал бэкдор для проведения разведки в сети жертвы с помощью различных инструментов, включая AdFind, две специальные сборки .Net, сетевой сканер SoftPerfect и WMI. Именно после этого этапа злоумышленник пытается использовать различные уязвимости Windows для перемещения в горизонтальном направлении, повышения привилегий и, в конечном итоге, удаления программы-вымогателя. Ранее в этом году компания Trend Micro определила группу Qakbot как продажа доступа к скомпрометированным сетям Black Basta и другим операторам программ-вымогателей.
«Мы считаем, что весьма вероятно, что операция по вымогательству Black Basta связана с FIN7», — заявила SentinelLabs из SentinelOne в своем блоге 3 ноября. Defense является или была разработчиком FIN7».
Сложная угроза со стороны программ-вымогателей
Операция по вымогательству Black Basta началась в апреле 2022 года, и к концу сентября ее жертвами стали не менее 90 человек. Trend Micro описала программу-вымогатель как наличие сложной процедуры шифрования который, вероятно, использует уникальные двоичные файлы для каждой из своих жертв. Многие из его атак включали технику двойного вымогательства, при которой злоумышленники сначала извлекают конфиденциальные данные из среды жертвы, а затем шифруют их.
В третьем квартале 2022 года Заражения вымогателем Black Basta составили 9% среди всех жертв программ-вымогателей, ставя его на второе место после LockBit, который по-прежнему остается самой распространенной угрозой-вымогателем — по данным Digital Shadows, на его долю приходится 35% всех жертв.
«Компания Digital Shadows наблюдала за операцией вымогателя Black Basta, нацеленной на промышленность промышленных товаров и услуг, включая производство, больше, чем на любой другой сектор», — говорит Николь Хоффман, старший аналитик по киберугрозам в Digital Shadows, компании ReliaQuest. «Сектор строительства и материалов следует за ним, став второй отраслью, на которую на сегодняшний день наиболее нацелены операции с программами-вымогателями».
FIN7 уже десять лет является занозой на глазу индустрии безопасности. Первоначальные атаки группы были сосредоточены на краже данных кредитных и дебетовых карт. Но с годами FIN7, которую также отслеживают как Carbanak Group и Cobalt Group, диверсифицировала и другие операции по борьбе с киберпреступностью, в том числе совсем недавно в сфере программ-вымогателей. Несколько поставщиков, в том числе Digital Shadows, заподозрили, что FIN7 имеет связи с несколькими группами вымогателей, включая REvil, Ryuk, DarkSide, BlackMatter и ALPHV.
«Так что неудивительно увидеть еще одну потенциальную ассоциацию», на этот раз с FIN7, говорит Хоффман. «Однако важно отметить, что объединение двух групп угроз не всегда означает, что всем правит одна группа. Вполне возможно, что группы работают вместе».
По данным SentinelLabs, некоторые инструменты, которые операция Black Basta использует в своих атаках, позволяют предположить, что FIN7 пытается отделить свою новую деятельность по вымогательству от старой. По словам SentinelOne, одним из таких инструментов является специальный инструмент защиты, уклонения и нарушения защиты, который, судя по всему, был написан разработчиком FIN7 и не наблюдался ни в одной другой операции с программами-вымогателями.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
