FIN7, finančno motivirana organizacija za kibernetski kriminal, ki je po ocenah ukradla več kot 1.2 milijarde dolarjev, odkar se je pojavila leta 2012, stoji za Black Basta, eno najplodnejših letošnjih družin izsiljevalskih programov.
To je zaključek raziskovalcev pri SentinelOne na podlagi, kot pravijo, različnih podobnosti v taktikah, tehnikah in postopkih med kampanjo Black Basta in prejšnjimi kampanjami FIN7. Med njimi so podobnosti v orodju za izogibanje izdelkom za odkrivanje in odziv končne točke (EDR); podobnosti v pakerjih za pakiranje svetilnika Cobalt Strike in backdoorja, imenovanega Birddog; izvorna koda se prekriva; ter prekrivajočih se naslovov IP in infrastrukture gostovanja.
Zbirka orodij po meri
Preiskava SentinelOne v dejavnosti Black Basta odkrila tudi nove informacije o metodah in orodjih napada akterja grožnje. Raziskovalci so na primer ugotovili, da akterji groženj pri številnih napadih Black Basta uporabljajo edinstveno zakrito različico brezplačnega orodja ukazne vrstice ADFind za zbiranje informacij o žrtvinem okolju Active Directory.
Ugotovili so, da operaterji Black Basta izkoriščajo lansko Natisni Nightmare ranljivost v storitvi Windows Print Spooler (CVE-2021-34527) In ZeroLogon napaka iz leta 2020 v Windows Netlogon Remote Protocol (CVE-2020-1472) v številnih akcijah. Obe ranljivosti napadalcem omogočata pridobitev skrbniškega dostopa do krmilnikov domene. SentinelOne je dejal, da je opazil tudi napade Black Basta, ki so izkoriščali "NoPac", izkoriščanje, ki združuje dve kritični pomanjkljivosti v zasnovi imenika Active Directory od lani (CVE-2021-42278 in CVE-2021-42287). Napadalci lahko izkoriščanje uporabijo za stopnjevanje privilegijev od navadnega uporabnika domene vse do skrbnika domene.
SentinelOne, ki je junija začel slediti Black Basta, je opazil verigo okužbe, ki se je začela s trojancem Qakbot, ki je postal zlonamerna programska oprema. Raziskovalci so ugotovili, da akter grožnje uporablja stranska vrata za izvajanje izvida v omrežju žrtve z različnimi orodji, vključno z AdFind, dvema prilagojenima sklopoma .Net, omrežnim skenerjem SoftPerfect in WMI. Po tej stopnji akter grožnje poskuša izkoristiti različne ranljivosti sistema Windows za bočno premikanje, stopnjevanje privilegijev in na koncu opustitev izsiljevalske programske opreme. Trend Micro je v začetku tega leta skupino Qakbot identificiral kot prodaja dostopa do ogroženih omrežij za Black Basta in druge operaterje izsiljevalske programske opreme.
»Ocenjujemo, da je zelo verjetno, da je operacija izsiljevalske programske opreme Black Basta povezana s FIN7,« je SentinelOne's SentinelLabs dejal v objavi na spletnem dnevniku 3. novembra. defenders je ali je bil razvijalec za FIN7.«
Sofisticirana grožnja z izsiljevalsko programsko opremo
Operacija izsiljevalske programske opreme Black Basta se je pojavila aprila 2022 in je do konca septembra zahtevala vsaj 90 žrtev. Trend Micro je izsiljevalsko programsko opremo opisal kot ki imajo sofisticirano rutino šifriranja ki verjetno uporablja edinstvene binarne datoteke za vsako od svojih žrtev. Številni njegovi napadi so vključevali tehniko dvojnega izsiljevanja, kjer akterji groženj najprej izločijo občutljive podatke iz okolja žrtve, preden jih šifrirajo.
V tretjem četrtletju 2022 Okužbe z izsiljevalsko programsko opremo Black Basta so predstavljale 9 % vseh žrtev izsiljevalske programske opreme, s čimer je na drugem mestu za LockBitom, ki je še naprej daleč najpogostejša grožnja z izsiljevalsko programsko opremo – s 35-odstotnim deležem vseh žrtev po podatkih Digital Shadows.
»Digital Shadows je bolj kot kateri koli drug sektor opazil operacijo izsiljevalske programske opreme Black Basta, ki cilja na industrijo industrijskega blaga in storitev, vključno s proizvodnjo,« pravi Nicole Hoffman, višja analitičarka za obveščanje o kibernetskih grožnjah pri Digital Shadows, podjetju ReliaQuest. »Gradbeni sektor in sektor materialov sledita tesno za njim kot druga najbolj ciljna panoga doslej zaradi operacije izsiljevalske programske opreme.«
FIN7 je že desetletje trn v peti varnostne industrije. Začetni napadi skupine so bili osredotočeni na krajo podatkov o kreditnih in debetnih karticah. Toda z leti se je FIN7, ki so mu sledili tudi kot Carbanak Group in Cobalt Group, razširil tudi na druge operacije kibernetske kriminalitete, vključno z nedavno na področju izsiljevalske programske opreme. Več prodajalcev – vključno z Digital Shadows – je sumilo, da ima FIN7 povezave do več skupin izsiljevalske programske opreme, vključno z REvil, Ryuk, DarkSide, BlackMatter in ALPHV.
"Torej ne bi bilo presenetljivo videti še eno potencialno povezavo," tokrat s FIN7, pravi Hoffman. »Vendar pa je pomembno opozoriti, da povezovanje dveh skupin groženj ne pomeni vedno, da ena skupina vodi predstavo. Realno je možno, da skupine sodelujejo.«
Glede na SentinelLabs nekatera orodja, ki jih operacija Black Basta uporablja v svojih napadih, kažejo, da FIN7 poskuša ločiti svojo novo dejavnost izsiljevalske programske opreme od stare. Eno takšnih orodij je prilagojeno orodje za izogibanje obrambi in oslabitev, za katerega se zdi, da ga je napisal razvijalec FIN7 in ni bilo opaženo pri nobeni drugi operaciji izsiljevalske programske opreme, je povedal SentinelOne.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
