Bu yılın en üretken fidye yazılımı ailelerinden biri olan Black Basta'nın arkasında, 7'de ortaya çıktığından bu yana 1.2 milyar dolardan fazla para çaldığı tahmin edilen, finansal motivasyona sahip bir siber suç örgütü olan FIN2012 yer alıyor.
SentinelOne'daki araştırmacıların, Black Basta kampanyası ile önceki FIN7 kampanyaları arasındaki taktik, teknik ve prosedürlerdeki çeşitli benzerliklere dayanarak vardıkları sonuç bu. Bunlar arasında uç nokta tespit ve yanıt (EDR) ürünlerinden kaçınmaya yönelik bir araçtaki benzerlikler; Cobalt Strike işaretini ve Birddog adlı arka kapıyı paketlemek için paketleyicilerdeki benzerlikler; kaynak kodu çakışmaları; ve örtüşen IP adresleri ve barındırma altyapısı.
Özel Araçlardan Oluşan Bir Koleksiyon
SentinelOne'un soruşturması Black Basta'nın faaliyetleri incelendiğinde, tehdit aktörünün saldırı yöntemleri ve araçları hakkında da yeni bilgiler ortaya çıkarıldı. Örneğin araştırmacılar, birçok Black Basta saldırısında tehdit aktörlerinin, kurbanın Active Directory ortamı hakkında bilgi toplamak için ücretsiz komut satırı aracı ADFind'in benzersiz şekilde gizlenmiş bir sürümünü kullandığını buldu.
Black Basta operatörlerinin geçen yılın fiyatlarını istismar ettiğini buldular YazdırKabus Windows Yazdırma Biriktiricisi hizmetindeki güvenlik açığı (CVE-2021-34527) Ve SıfırOturum Açma Windows Netlogon Uzaktan Protokolünde 2020'deki kusur (CVE-2020-1472) birçok kampanyada. Her iki güvenlik açığı da saldırganlara etki alanı denetleyicilerine yönetici erişimi elde etme yolu sağlar. SentinelOne, aynı zamanda "NoPac"tan yararlanan Black Basta saldırılarını da gözlemlediğini söyledi. iki kritik Active Directory tasarım kusurunu birleştiriyor geçen yıldan (CVE-2021-42278 ve CVE-2021-42287). Saldırganlar bu açıktan yararlanarak normal bir alan adı kullanıcısının ayrıcalıklarını alan yöneticisine kadar yükseltebilir.
Haziran ayında Black Basta'yı izlemeye başlayan SentinelOne, kötü amaçlı yazılıma dönüşen Qakbot Truva Atı ile başlayan enfeksiyon zincirini gözlemledi. Araştırmacılar, tehdit aktörünün, AdFind, iki özel .Net derlemesi, SoftPerfect'in ağ tarayıcısı ve WMI gibi çeşitli araçları kullanarak kurban ağında keşif yapmak için arka kapıyı kullandığını buldu. Bu aşamadan sonra tehdit aktörü, yanlara doğru hareket etmek, ayrıcalıkları yükseltmek ve sonunda fidye yazılımını bırakmak için çeşitli Windows güvenlik açıklarından yararlanmaya çalışır. Trend Micro bu yılın başlarında Qakbot grubunu şu şekilde tanımladı: ele geçirilen ağlara erişimin satılması Black Basta ve diğer fidye yazılımı operatörlerine.
SentinelOne'dan SentinelLabs, 7 Kasım'daki bir blog yazısında şunları söyledi: "Black Basta fidye yazılımı operasyonunun büyük olasılıkla FIN3 ile bağlantısı olduğunu değerlendiriyoruz." Defences, FIN7'nin geliştiricisidir veya geliştiricisiydi."
Gelişmiş Fidye Yazılımı Tehdidi
Black Basta fidye yazılımı operasyonu Nisan 2022'de ortaya çıktı ve Eylül ayı sonuna kadar en az 90 kişinin kurban edildiği bildirildi. Trend Micro fidye yazılımını şu şekilde tanımladı: karmaşık bir şifreleme rutinine sahip olmak muhtemelen kurbanlarının her biri için benzersiz ikili dosyalar kullanıyor. Saldırılarının çoğu, tehdit aktörlerinin kurban ortamından hassas verileri şifrelemeden önce sızdırdığı çift gasp tekniğini içeriyor.
2022'nin üçüncü çeyreğinde, Black Basta fidye yazılımı enfeksiyonları %9’u oluşturdu Digital Shadows'un verilerine göre tüm kurbanlar arasında %35'lik payla en yaygın fidye yazılımı tehdidi olmaya devam eden LockBit, tüm fidye yazılımı kurbanları arasında ikinci sırada yer alıyor.
Bir ReliaQuest şirketi olan Digital Shadows'ta kıdemli siber tehdit istihbarat analisti Nicole Hoffman, "Digital Shadows, imalat da dahil olmak üzere endüstriyel mal ve hizmet sektörünü diğer sektörlerden daha fazla hedef alan Black Basta fidye yazılımı operasyonunu gözlemledi" diyor. “İnşaat ve malzeme sektörü, fidye yazılımı operasyonunun bugüne kadar en çok hedef aldığı ikinci sektör olarak onu yakından takip ediyor.”
FIN7, on yıldır güvenlik sektörünün başına bela oldu. Grubun ilk saldırıları kredi ve banka kartı veri hırsızlığına odaklandı. Ancak yıllar geçtikçe Carbanak Grubu ve Kobalt Grubu olarak da takip edilen FIN7, en son fidye yazılımı alanı da dahil olmak üzere diğer siber suç operasyonlarına da yöneldi. Digital Shadows da dahil olmak üzere birçok satıcı, FIN7'nin REvil, Ryuk, DarkSide, BlackMatter ve ALPHV dahil olmak üzere birden fazla fidye yazılımı grubuyla bağlantısı olduğundan şüpheleniyor.
Hoffman, "Dolayısıyla bu sefer FIN7 ile başka bir potansiyel ilişki görmek şaşırtıcı olmaz" diyor. "Ancak, iki tehdit grubunu birbirine bağlamanın her zaman işi bir grubun yürüttüğü anlamına gelmediğini belirtmek önemlidir. Grupların birlikte çalışması gerçekçi bir şekilde mümkün.”
SentinelLabs'a göre, Black Basta operasyonunun saldırılarında kullandığı bazı araçlar, FIN7'nin yeni fidye yazılımı etkinliğini eskisinden ayırmaya çalıştığını gösteriyor. SentinelOne, bu tür araçlardan birinin, bir FIN7 geliştiricisi tarafından yazılmış gibi görünen ve başka hiçbir fidye yazılımı operasyonunda gözlemlenmeyen özel bir savunma kaçırma ve bozma aracı olduğunu söyledi.
