FIN7, một tổ chức tội phạm mạng có động cơ tài chính được ước tính đã đánh cắp hơn 1.2 tỷ USD kể từ khi nổi lên vào năm 2012, đứng đằng sau Black Basta, một trong những dòng ransomware phổ biến nhất năm nay.
Đó là kết luận của các nhà nghiên cứu tại SentinelOne dựa trên những gì họ cho là có nhiều điểm tương đồng về chiến thuật, kỹ thuật và quy trình giữa chiến dịch Black Basta và các chiến dịch FIN7 trước đó. Trong số đó có những điểm tương đồng về một công cụ giúp trốn tránh các sản phẩm phát hiện và phản hồi điểm cuối (EDR); những điểm tương đồng trong các trình đóng gói để đóng gói đèn hiệu Cobalt Strike và một cửa sau có tên Birddog; mã nguồn trùng lặp; và chồng chéo địa chỉ IP và cơ sở hạ tầng lưu trữ.
Bộ sưu tập các công cụ tùy chỉnh
Cuộc điều tra của SentinelOne vào hoạt động của Black Basta cũng khai thác được thông tin mới về các phương pháp và công cụ tấn công của kẻ đe dọa. Ví dụ: các nhà nghiên cứu phát hiện ra rằng trong nhiều cuộc tấn công của Black Basta, kẻ đe dọa sử dụng một phiên bản bị xáo trộn duy nhất của công cụ dòng lệnh miễn phí ADFind để thu thập thông tin về môi trường Active Directory của nạn nhân.
Họ nhận thấy các nhà khai thác Black Basta đang khai thác năm ngoái InCơn Ác Mộng lỗ hổng trong dịch vụ Windows Print Spooler (CVE-2021-34527) Và KhôngĐăng nhập lỗ hổng từ năm 2020 trong Windows Netlogon Remote Protocol (CVE-2020-1472) trong nhiều chiến dịch. Cả hai lỗ hổng đều cung cấp cho kẻ tấn công một cách để giành quyền truy cập quản trị trên bộ điều khiển miền. SentinelOne cho biết họ cũng quan sát thấy các cuộc tấn công của Black Basta tận dụng “NoPac”, một cách khai thác kết hợp hai lỗi thiết kế Active Directory quan trọng từ năm ngoái (CVE-2021-42278 và CVE-2021-42287). Những kẻ tấn công có thể sử dụng khai thác để leo thang đặc quyền từ người dùng miền thông thường cho đến quản trị viên miền.
SentinelOne, bắt đầu theo dõi Black Basta vào tháng 6, đã quan sát thấy chuỗi lây nhiễm bắt đầu bằng công cụ nhỏ giọt phần mềm độc hại biến thành Trojan Qakbot. Các nhà nghiên cứu đã phát hiện ra tác nhân đe dọa sử dụng cửa sau để tiến hành trinh sát mạng nạn nhân bằng nhiều công cụ khác nhau bao gồm AdFind, hai tập hợp .Net tùy chỉnh, trình quét mạng của SoftPerinf và WMI. Sau giai đoạn đó, kẻ đe dọa cố gắng khai thác các lỗ hổng khác nhau của Windows để di chuyển ngang, leo thang đặc quyền và cuối cùng loại bỏ phần mềm ransomware. Trend Micro đầu năm nay đã xác định nhóm Qakbot là bán quyền truy cập vào các mạng bị xâm nhập cho Black Basta và các nhà khai thác phần mềm tống tiền khác.
“Chúng tôi đánh giá rất có thể hoạt động ransomware Black Basta có quan hệ với FIN7,” SentinelLabs của SentinelOne cho biết trong một bài đăng trên blog vào ngày 3 tháng 7. “Hơn nữa, chúng tôi đánh giá có khả năng (các) nhà phát triển đằng sau các công cụ của họ đã làm suy yếu nạn nhân. Defenses đã hoặc đang là nhà phát triển cho FINXNUMX.”
Mối đe dọa ransomware tinh vi
Hoạt động ransomware Black Basta nổi lên vào tháng 2022 năm 90 và đã cướp đi ít nhất XNUMX nạn nhân cho đến cuối tháng XNUMX. Trend Micro đã mô tả ransomware là có một thói quen mã hóa tinh vi có khả năng sử dụng các tệp nhị phân duy nhất cho mỗi nạn nhân của nó. Nhiều cuộc tấn công của nó liên quan đến kỹ thuật tống tiền kép trong đó các tác nhân đe dọa trước tiên lọc dữ liệu nhạy cảm khỏi môi trường nạn nhân trước khi mã hóa nó.
Trong quý 2022 năm XNUMX, Nhiễm ransomware Black Basta chiếm 9% trong số tất cả các nạn nhân của ransomware, xếp nó ở vị trí thứ hai sau LockBit, cho đến nay vẫn tiếp tục là mối đe dọa ransomware phổ biến nhất — với 35% tổng số nạn nhân, theo dữ liệu từ Digital Shadows.
Nicole Hoffman, nhà phân tích tình báo mối đe dọa mạng cấp cao tại Digital Shadows, một công ty ReliaQuest, cho biết: “Digital Shadows đã quan sát thấy hoạt động ransomware Black Basta nhắm vào ngành dịch vụ và hàng hóa công nghiệp, bao gồm cả sản xuất, hơn bất kỳ lĩnh vực nào khác”. “Lĩnh vực xây dựng và vật liệu theo sát phía sau là ngành được nhắm mục tiêu nhiều thứ hai cho đến nay do hoạt động của ransomware.”
FIN7 đã trở thành cái gai trong ngành bảo mật trong một thập kỷ. Các cuộc tấn công ban đầu của nhóm tập trung vào việc đánh cắp dữ liệu thẻ tín dụng và thẻ ghi nợ. Nhưng trong những năm qua, FIN7, còn được biết đến với tên gọi Carbanak Group và Cobalt Group, cũng đã đa dạng hóa sang các hoạt động tội phạm mạng khác, bao gồm cả gần đây nhất là lĩnh vực ransomware. Một số nhà cung cấp — bao gồm Digital Shadows — đã nghi ngờ FIN7 có liên kết với nhiều nhóm ransomware, bao gồm REvil, Ryuk, DarkSide, BlackMatter và ALPHV.
Hoffman nói: “Vì vậy, sẽ không có gì đáng ngạc nhiên khi thấy thêm một mối liên kết tiềm năng khác,” lần này là với FIN7. “Tuy nhiên, điều quan trọng cần lưu ý là việc liên kết hai nhóm đe dọa với nhau không phải lúc nào cũng có nghĩa là một nhóm đang điều hành chương trình. Trên thực tế, có khả năng các nhóm đang làm việc cùng nhau.”
Theo SentinelLabs, một số công cụ mà hoạt động Black Basta sử dụng trong các cuộc tấn công cho thấy FIN7 đang cố gắng tách hoạt động ransomware mới của nó khỏi hoạt động cũ. SentinelOne cho biết một trong những công cụ như vậy là một công cụ phá hoại và phòng thủ tùy chỉnh dường như được viết bởi một nhà phát triển FIN7 và chưa được quan sát thấy trong bất kỳ hoạt động ransomware nào khác.
