FIN7 องค์กรอาชญากรรมไซเบอร์ที่มีแรงจูงใจทางการเงิน ซึ่งคาดว่าจะขโมยเงินได้มากกว่า 1.2 พันล้านดอลลาร์นับตั้งแต่เปิดตัวในปี 2012 อยู่เบื้องหลัง Black Basta หนึ่งในตระกูลแรนซัมแวร์ที่อุดมสมบูรณ์ที่สุดในปีนี้
นั่นคือข้อสรุปของนักวิจัยที่ SentinelOne โดยพิจารณาจากสิ่งที่พวกเขากล่าวว่ามีความคล้ายคลึงกันในด้านกลยุทธ์ เทคนิค และขั้นตอนระหว่างแคมเปญ Black Basta และแคมเปญ FIN7 ก่อนหน้านี้ หนึ่งในนั้นคือความคล้ายคลึงกันในเครื่องมือสำหรับการหลีกเลี่ยงผลิตภัณฑ์การตรวจจับและตอบสนองปลายทาง (EDR) ความคล้ายคลึงกันในการบรรจุหีบห่อสำหรับบรรจุสัญญาณ Cobalt Strike และประตูหลังที่เรียกว่า Birddog; ซอร์สโค้ดทับซ้อนกัน และที่อยู่ IP และโครงสร้างพื้นฐานโฮสติ้งที่ทับซ้อนกัน
ชุดเครื่องมือแบบกำหนดเอง
การสอบสวนของ SentinelOne ในกิจกรรมของ Black Basta ยังค้นพบข้อมูลใหม่เกี่ยวกับวิธีการโจมตีและเครื่องมือของผู้คุกคาม ตัวอย่างเช่น นักวิจัยพบว่าในการโจมตี Black Basta หลายครั้ง ผู้คุกคามใช้เครื่องมือบรรทัดคำสั่งฟรี ADFind เวอร์ชันที่สร้างความสับสนโดยเฉพาะ เพื่อรวบรวมข้อมูลเกี่ยวกับสภาพแวดล้อม Active Directory ของเหยื่อ
พวกเขาพบว่าผู้ให้บริการ Black Basta กำลังหาประโยชน์จากปีที่แล้ว พิมพ์ฝันร้าย ช่องโหว่ในบริการ Windows Print Spooler (CVE-2021-34527) และ ZeroLogon ข้อบกพร่องจากปี 2020 ใน Windows Netlogon Remote Protocol (CVE-2020-1472) ในหลายแคมเปญ ช่องโหว่ทั้งสองทำให้ผู้โจมตีสามารถเข้าถึงการเข้าถึงระดับผู้ดูแลระบบบนตัวควบคุมโดเมนได้ SentinelOne กล่าวว่ายังสังเกตเห็นการโจมตีของ Black Basta โดยใช้ประโยชน์จาก “NoPac” ซึ่งเป็นการหาประโยชน์ดังกล่าว รวมข้อบกพร่องการออกแบบ Active Directory ที่สำคัญสองประการเข้าด้วยกัน จากปีที่แล้ว (CVE-2021-42278 และ CVE-2021-42287). ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อเพิ่มสิทธิพิเศษจากผู้ใช้โดเมนทั่วไปไปจนถึงผู้ดูแลระบบโดเมน
SentinelOne ซึ่งเริ่มติดตาม Black Basta ในเดือนมิถุนายน สังเกตเห็นห่วงโซ่การติดไวรัสที่เริ่มต้นจากหยดมัลแวร์ที่กลายเป็นโทรจันของ Qakbot นักวิจัยพบว่าผู้คุกคามใช้ประตูหลังเพื่อทำการลาดตระเวนบนเครือข่ายเหยื่อโดยใช้เครื่องมือที่หลากหลาย รวมถึง AdFind, ชุดประกอบ .Net แบบกำหนดเองสองชุด, เครื่องสแกนเครือข่ายของ SoftPerfect และ WMI หลังจากขั้นตอนดังกล่าว ผู้คุกคามพยายามที่จะใช้ประโยชน์จากช่องโหว่ต่างๆ ของ Windows เพื่อย้ายไปด้านข้าง เพิ่มสิทธิพิเศษ และปล่อยแรนซัมแวร์ในที่สุด เมื่อต้นปีนี้ Trend Micro ระบุว่ากลุ่ม Qakbot เป็น ขายการเข้าถึงเครือข่ายที่ถูกบุกรุก สู่ Black Basta และผู้ให้บริการแรนซัมแวร์อื่นๆ
“เราประเมินว่ามีความเป็นไปได้สูงที่การดำเนินการของ Black Basta ransomware จะมีความเกี่ยวข้องกับ FIN7” SentinelLabs ของ SentinelOne กล่าวในบล็อกโพสต์เมื่อวันที่ 3 พฤศจิกายน “นอกจากนี้ เรายังประเมินว่ามีแนวโน้มที่นักพัฒนาที่อยู่เบื้องหลังเครื่องมือของพวกเขาจะทำให้เหยื่อเสียหาย การป้องกันคือหรือเคยเป็นผู้พัฒนา FIN7”
ภัยคุกคามแรนซัมแวร์ที่ซับซ้อน
การดำเนินการของแรนซั่มแวร์ Black Basta เกิดขึ้นในเดือนเมษายน 2022 และได้อ้างสิทธิ์เหยื่ออย่างน้อย 90 รายจนถึงสิ้นเดือนกันยายน Trend Micro ได้อธิบายแรนซัมแวร์ดังกล่าวว่า มีขั้นตอนการเข้ารหัสที่ซับซ้อน ที่อาจใช้ไบนารีที่ไม่ซ้ำกันสำหรับเหยื่อแต่ละราย การโจมตีหลายครั้งเกี่ยวข้องกับเทคนิคการขู่กรรโชกซ้ำซ้อน โดยที่ผู้คุกคามจะกรองข้อมูลที่ละเอียดอ่อนออกจากสภาพแวดล้อมของเหยื่อก่อนจึงจะเข้ารหัส
ในไตรมาสที่สามของปี 2022 การติดเชื้อ Black Basta ransomware คิดเป็น 9% ของเหยื่อแรนซัมแวร์ทั้งหมด โดยอยู่ในอันดับที่สองตามหลัง LockBit ซึ่งยังคงเป็นภัยคุกคามแรนซัมแวร์ที่แพร่หลายที่สุด โดยมีส่วนแบ่ง 35% ของเหยื่อทั้งหมด ตามข้อมูลจาก Digital Shadows
“Digital Shadows ได้สังเกตเห็นการดำเนินการของแรนซัมแวร์ Black Basta ที่มุ่งเป้าไปที่สินค้าอุตสาหกรรมและอุตสาหกรรมบริการ รวมถึงการผลิต มากกว่าภาคอื่นๆ” นิโคล ฮอฟฟ์แมน นักวิเคราะห์ข่าวกรองอาวุโสด้านภัยคุกคามทางไซเบอร์จาก Digital Shadows บริษัท ReliaQuest กล่าว “ภาคการก่อสร้างและวัสดุก่อสร้างตามหลังมาอย่างใกล้ชิดในฐานะอุตสาหกรรมที่เป็นเป้าหมายมากที่สุดเป็นอันดับสองจนถึงปัจจุบันจากการดำเนินการของแรนซัมแวร์”
FIN7 ถือเป็นหนามแหลมในอุตสาหกรรมความปลอดภัยมานานนับทศวรรษ การโจมตีครั้งแรกของกลุ่มมุ่งเน้นไปที่การขโมยข้อมูลบัตรเครดิตและเดบิต แต่ในช่วงหลายปีที่ผ่านมา FIN7 ซึ่งได้รับการติดตามในชื่อ Carbanak Group และ Cobalt Group ได้ขยายไปสู่ปฏิบัติการอาชญากรรมทางไซเบอร์อื่นๆ เช่นกัน รวมถึงล่าสุดในขอบเขตของแรนซัมแวร์ ผู้จำหน่ายหลายราย รวมถึง Digital Shadows สงสัยว่า FIN7 มีลิงก์ไปยังกลุ่มแรนซัมแวร์หลายกลุ่ม รวมถึง REvil, Ryuk, DarkSide, BlackMatter และ ALPHV
“ดังนั้น จึงไม่น่าแปลกใจที่จะเห็นการเชื่อมโยงที่เป็นไปได้อีกครั้ง” คราวนี้กับ FIN7 ฮอฟฟ์แมนกล่าว “อย่างไรก็ตาม สิ่งสำคัญที่ควรทราบคือการเชื่อมโยงกลุ่มภัยคุกคามสองกลุ่มเข้าด้วยกันไม่ได้หมายความว่ากลุ่มใดกลุ่มหนึ่งกำลังดำเนินการอยู่เสมอไป เป็นไปได้ตามความเป็นจริงที่กลุ่มต่างๆ กำลังทำงานร่วมกัน”
จากข้อมูลของ SentinelLabs เครื่องมือบางอย่างที่ปฏิบัติการ Black Basta ใช้ในการโจมตีบ่งชี้ว่า FIN7 กำลังพยายามยกเลิกการเชื่อมโยงกิจกรรมแรนซัมแวร์ใหม่จากรุ่นเก่า เครื่องมือหนึ่งดังกล่าวคือเครื่องมือการหลีกเลี่ยงการป้องกันและการด้อยค่าแบบกำหนดเองที่ดูเหมือนว่าจะเขียนโดยนักพัฒนา FIN7 และไม่ได้รับการสังเกตในการดำเนินการของแรนซัมแวร์อื่น ๆ SentinelOne กล่าว
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
