FIN7, en ekonomiskt motiverad cyberbrottsorganisation som beräknas ha stulit långt över 1.2 miljarder dollar sedan uppkomsten 2012, ligger bakom Black Basta, en av årets mest produktiva ransomware-familjer.
Det är slutsatsen från forskare vid SentinelOne baserat på vad de säger är olika likheter i taktiken, teknikerna och procedurerna mellan Black Basta-kampanjen och tidigare FIN7-kampanjer. Bland dem finns likheter i ett verktyg för att undvika endpoint detection and response (EDR) produkter; likheter i packare för packning av Cobalt Strike-fyr och en bakdörr som kallas Birddog; källkod överlappar; och överlappande IP-adresser och värdinfrastruktur.
En samling anpassade verktyg
SentinelOnes undersökning i Black Bastas aktiviteter grävde också fram ny information om hotaktörens attackmetoder och verktyg. Till exempel fann forskarna att i många Black Basta-attacker använder hotaktörerna en unikt fördunklad version av det kostnadsfria kommandoradsverktyget ADFind för att samla information om ett offers Active Directory-miljö.
De fann att Black Basta-operatörer utnyttjar förra årets Print Nightmare sårbarhet i Windows Print Spooler-tjänst (CVE-2021-34527) Och ZeroLogon fel från 2020 i Windows Netlogon Remote Protocol (CVE-2020-1472) i många kampanjer. Båda sårbarheterna ger angripare ett sätt att få administrativ åtkomst på domänkontrollanter. SentinelOne sa att det också observerade Black Basta-attacker som utnyttjade "NoPac", en exploatering som kombinerar två kritiska Active Directory-designfel från förra året (CVE-2021-42278 och CVE-2021-42287). Angripare kan använda utnyttjandet för att eskalera privilegier från en vanlig domänanvändares privilegier hela vägen till domänadministratören.
SentinelOne, som började spåra Black Basta i juni, observerade infektionskedjan som började med Qakbot Trojan som blev skadlig programvara dropper. Forskare fann att hotaktören använde bakdörren för att utföra spaning på offrets nätverk med hjälp av en mängd olika verktyg, inklusive AdFind, två anpassade .Net-enheter, SoftPerfects nätverksskanner och WMI. Det är efter det skedet som hotaktören försöker utnyttja de olika Windows-sårbarheterna för att flytta i sidled, eskalera privilegier och så småningom släppa ransomware. Trend Micro identifierade tidigare i år Qakbot-gruppen som sälja tillgång till komprometterade nätverk till Black Basta och andra ransomware-operatörer.
"Vi bedömer att det är högst troligt att Black Basta ransomware-operationen har kopplingar till FIN7," sa SentinelOnes SentinelLabs i ett blogginlägg den 3 november. "Vi bedömer dessutom att det är troligt att utvecklarna bakom deras verktyg för att försämra offret försvar är, eller var, en utvecklare för FIN7."
Sofistikerat Ransomware-hot
Black Basta ransomware-operationen dök upp i april 2022 och har krävt minst 90 offer fram till slutet av september. Trend Micro har beskrivit ransomware som ha en sofistikerad krypteringsrutin som sannolikt använder unika binärer för vart och ett av sina offer. Många av dess attacker har involverat en dubbel utpressningsteknik där hotaktörerna först exfiltrerar känslig data från en offermiljö innan de krypterar den.
Under tredje kvartalet 2022, Black Basta ransomware-infektioner stod för 9 % av alla offer för ransomware, vilket placerade det på andra plats bakom LockBit, som fortsatte att vara det överlägset mest utbredda ransomware-hotet — med en andel på 35 % av alla offer, enligt data från Digital Shadows.
"Digital Shadows har observerat Black Basta ransomware-operation som riktar sig mot industrivaru- och tjänsteindustrin, inklusive tillverkning, mer än någon annan sektor", säger Nicole Hoffman, senior cyberhotsintelligensanalytiker på Digital Shadows, ett ReliaQuest-företag. "Bygg- och materialsektorn följer tätt efter som den näst mest riktade industrin hittills av ransomware-verksamheten."
FIN7 har varit en nagel i ögonen på säkerhetsbranschen i ett decennium. Gruppens första attacker fokuserade på stöld av kredit- och betalkortsdata. Men genom åren har FIN7, som också har spårats som Carbanak Group och Cobalt Group, diversifierat sig till andra cyberbrottsverksamheter också, inklusive senast till ransomware-sfären. Flera leverantörer – inklusive Digital Shadows – har misstänkt FIN7 för att ha länkar till flera ransomware-grupper, inklusive REvil, Ryuk, DarkSide, BlackMatter och ALPHV.
"Så det skulle inte vara förvånande att se ännu en potentiell förening," den här gången med FIN7, säger Hoffman. "Det är dock viktigt att notera att att koppla samman två hotgrupper inte alltid innebär att en grupp driver showen. Det är realistiskt möjligt att grupperna arbetar tillsammans."
Enligt SentinelLabs tyder några av verktygen som Black Basta-operationen använder i sina attacker på att FIN7 försöker koppla bort sin nya ransomware-aktivitet från den gamla. Ett sådant verktyg är ett anpassat verktyg för undandragande av försvar och försämring som verkar ha skrivits av en FIN7-utvecklare och som inte har observerats i någon annan ransomware-operation, sa SentinelOne.
