FIN7, фінансово вмотивована кіберзлочинна організація, яка, за оцінками, вкрала понад 1.2 мільярда доларів з моменту появи в 2012 році, стоїть за Black Basta, однією з найплідніших сімей програм-вимагачів цього року.
До такого висновку прийшли дослідники з SentinelOne, виходячи з того, що, за їхніми словами, існує різна схожість тактик, прийомів і процедур між кампанією Black Basta та попередніми кампаніями FIN7. Серед них схожість в інструменті для уникнення продуктів виявлення кінцевих точок і реагування (EDR); схожість пакувальників для пакування маяка Cobalt Strike і бекдора Birddog; збіги вихідного коду; а також перекриття IP-адрес та інфраструктури хостингу.
Колекція спеціальних інструментів
Розслідування SentinelOne у діяльність Black Basta також знайшли нову інформацію про методи та інструменти атаки зловмисника. Наприклад, дослідники виявили, що під час багатьох атак Black Basta зловмисники використовують унікальну замасковану версію безкоштовного інструменту командного рядка ADFind для збору інформації про середовище Active Directory жертви.
Вони виявили, що оператори Black Basta використовують торішній Друк Кошмар уразливість у службі Windows Print Spooler (CVE-2021-34527) І ZeroLogon недолік з 2020 року в Windows Netlogon Remote Protocol (CVE-2020-1472) у багатьох кампаніях. Обидві вразливості дають зловмисникам спосіб отримати адміністративний доступ до контролерів домену. SentinelOne заявив, що також спостерігав атаки Black Basta з використанням «NoPac», експлойту, який поєднує в собі два критичні недоліки дизайну Active Directory з минулого року (CVE-2021-42278 та CVE-2021-42287). Зловмисники можуть використовувати експлойт для ескалації привілеїв від звичайного користувача домену до адміністратора домену.
SentinelOne, яка почала відстежувати Black Basta в червні, помітила ланцюжок зараження, що починається з трояна Qakbot, який перетворився на шкідливе програмне забезпечення. Дослідники виявили, що зловмисник використовує бекдор для проведення розвідки в мережі жертви за допомогою різноманітних інструментів, включаючи AdFind, дві спеціальні збірки .Net, мережевий сканер SoftPerfect і WMI. Саме після цього етапу зловмисник намагається використати різні вразливості Windows, щоб рухатися вбік, підвищувати привілеї та, зрештою, скинути програму-вимагач. На початку цього року компанія Trend Micro визначила групу Qakbot як продаж доступу до скомпрометованих мереж для Black Basta та інших операторів програм-вимагачів.
«Ми вважаємо, що операція з програмою-вимагачем Black Basta дуже ймовірно пов’язана з FIN7», – йдеться в повідомленні SentinelLabs SentinelOne у блозі від 3 листопада. «Крім того, ми вважаємо ймовірним, що розробники, які стоять за своїми інструментами, завдають шкоди жертві. defenses є або була розробником FIN7».
Складна загроза програм-вимагачів
Операція з програмою-вимагачем Black Basta з’явилася в квітні 2022 року та забрала щонайменше 90 жертв до кінця вересня. Trend Micro описав програму-вимагач як наявність складної процедури шифрування який, ймовірно, використовує унікальні двійкові файли для кожної зі своїх жертв. Багато його атак включають техніку подвійного вимагання, коли суб’єкти загрози спочатку вилучають конфіденційні дані з середовища жертви, а потім шифрують їх.
У третьому кварталі 2022 р. 9% заражень програмами-вимагачами Black Basta усіх жертв програм-вимагачів, поставивши її на друге місце після LockBit, яка й надалі залишається найпоширенішою загрозою програм-вимагачів — згідно з даними Digital Shadows, з часткою 35% усіх жертв.
«Компанія Digital Shadows спостерігала за операцією програм-вимагачів Black Basta, націленою на індустрію промислових товарів і послуг, включаючи виробництво, більше, ніж на будь-який інший сектор», — каже Ніколь Хоффман, старший аналітик із розвідки кіберзагроз у Digital Shadows, компанії ReliaQuest. «Сектор будівництва та матеріалів іде з невеликим відривом, став другою галуззю, яка найбільше націлена на сьогоднішній день програмами-вимагачами».
FIN7 був шипою в оці індустрії безпеки протягом десяти років. Початкові атаки групи були зосереджені на крадіжці даних кредитних і дебетових карток. Але протягом багатьох років FIN7, яку також відслідковували як Carbanak Group і Cobalt Group, також диверсифікувалася в інші операції з кіберзлочинності, включно з останнім часом у сферу програм-вимагачів. Декілька постачальників, включаючи Digital Shadows, підозрюють, що FIN7 має зв’язки з кількома групами програм-вимагачів, зокрема REvil, Ryuk, DarkSide, BlackMatter і ALPHV.
«Тож не було б дивним побачити ще одну потенційну асоціацію», цього разу з FIN7, говорить Хоффман. «Однак важливо зазначити, що об’єднання двох груп загроз не завжди означає, що одна група керує шоу. Цілком можливо, що групи працюють разом».
За даними SentinelLabs, деякі інструменти, які операція Black Basta використовує у своїх атаках, свідчать про те, що FIN7 намагається відокремити свою нову активність програм-вимагачів від старої. За словами SentinelOne, одним із таких інструментів є спеціальний інструмент захисту від уникнення та погіршення, який, здається, був написаний розробником FIN7 і не спостерігався в жодній іншій операції з програмами-вимагачами.
