Một phân tích mới về các công cụ được đưa vào sử dụng bởi hoạt động ransomware Black Basta đã xác định mối quan hệ giữa tác nhân đe dọa và nhóm FIN7 (hay còn gọi là Carbanak).
Liên kết này "có thể gợi ý rằng Black Basta và FIN7 duy trì mối quan hệ đặc biệt hoặc một hoặc nhiều cá nhân thuộc cả hai nhóm", công ty an ninh mạng SentinelOne cho biết trong một bài viết kỹ thuật được chia sẻ với The Hacker VN.
Black Basta,xuất hiện vào đầu năm nay, được cho là do một cuộc tấn công ransomware đã cướp đi sinh mạng của hơn 90 tổ chức tính đến tháng 9 năm 2022, cho thấy rằng kẻ thù vừa được tổ chức tốt vừa có nguồn lực tốt.
Một khía cạnh đáng chú ý khiến nhóm nổi bật, theo SentinelOne, là thực tế là không có dấu hiệu nào cho thấy các nhà khai thác của nó đang cố gắng tuyển dụng các chi nhánh hoặc quảng cáo phần mềm độc hại dưới dạng RaaS trên các diễn đàn darknet hoặc thị trường phần mềm tội phạm.
Điều này đã làm dấy lên khả năng các nhà phát triển Black Basta hoặc cắt bỏ các chi nhánh khỏi chuỗi và triển khai ransomware thông qua bộ công cụ tùy chỉnh của riêng họ hoặc làm việc với một tập hợp các chi nhánh chặt chẽ mà không cần phải tiếp thị warez của họ.
Các chuỗi tấn công liên quan đến Black Basta được biết là tận dụng QBot (hay còn gọi là Qakbot), do đó, được gửi bằng các email lừa đảo có chứa các tài liệu Microsoft Office dựa trên vĩ mô, với các bệnh nhiễm trùng mới hơn lợi dụng hình ảnh ISO và trình nhỏ giọt LNK để vượt qua quyết định của Microsoft về việc chặn macro trong các tệp được tải xuống từ web theo mặc định.
Khi Qakbot có được chỗ đứng vững chắc trong môi trường mục tiêu, người điều khiển Black Basta bước vào hiện trường để tiến hành trinh sát bằng cách kết nối với nạn nhân thông qua cửa hậu, tiếp theo là khai thác các lỗ hổng đã biết .
(VD: ZeroLogon, PrintNightmare và NoPac) để leo thang đặc quyền.
Cũng được đưa vào sử dụng ở giai đoạn này là các cửa hậu như SystemBC (hay còn gọi là Coroxy) để lọc dữ liệu và tải xuống các mô-đun độc hại bổ sung, trước khi tiến hành chuyển động bên và thực hiện các bước để làm suy yếu hệ thống phòng thủ bằng cách vô hiệu hóa các giải pháp bảo mật đã cài đặt.
Điều này cũng bao gồm một công cụ trốn tránh EDR tùy chỉnh được đưa vào sử dụng độc quyền trong các sự cố Black Basta và được nhúng với một cửa hậu có tên là BIRDDOG, còn được gọi là SocksBot và đã được sử dụng trong một số cuộc tấn công trước đây được quy cho nhóm FIN7.
Tổ chức tội phạm mạng FIN7, hoạt động từ năm 2012, có thành tích về việc gia tăng các chiến dịch phần mềm độc hại quy mô lớn nhắm mục tiêu vào hệ thống điểm bán hàng (PoS) nhằm vào ngành nhà hàng, cờ bạc và khách sạn vì gian lận tài chính.
Tuy nhiên, trong hai năm qua, nhóm đã chuyển sang ransomware để tạo ra doanh thu bất hợp pháp, đầu tiên là Darkside và sau đó là BlackMatter và BlackCat, chưa kể đến việc thành lập các công ty bình phong giả mạo để tuyển dụng những người thử nghiệm thâm nhập vô tình để tổ chức các cuộc tấn công ransomware.
"Tại thời điểm này, có khả năng FIN7 hoặc một chi nhánh đã bắt đầu viết các công cụ từ đầu để tách các hoạt động mới của họ khỏi hoạt động cũ," các nhà nghiên cứu Antonio Cocomazzi và Antonio Pirozzi cho biết. "Có khả năng (các) nhà phát triển đằng sau các công cụ của họ để làm suy yếu khả năng phòng thủ của nạn nhân là, hoặc đã từng là nhà phát triển cho FIN7."
Phát hiện được đưa ra vài tuần sau khi diễn viên Black Basta được quan sát bằng cách sử dụng trojan Qakbot để triển khai các khuôn khổ Cobalt Strike và Brute Ratel C4 như một trọng tải giai đoạn hai trong các cuộc tấn công gần đây.
"Hệ sinh thái phần mềm tội phạm không ngừng mở rộng, thay đổi và phát triển," các nhà nghiên cứu kết luận. "FIN7 (hoặc Carbanak) thường được ghi nhận là người đã đổi mới trong không gian tội phạm, đưa các cuộc tấn công chống lại các ngân hàng và hệ thống PoS lên một tầm cao mới ngoài kế hoạch của các đồng nghiệp của họ."
Tiết lộ cũng được đưa ra khi Mạng lưới Thực thi Tội phạm Tài chính Hoa Kỳ (FinCEN) báo cáo sự gia tăng các cuộc tấn công ransomware nhắm vào các thực thể trong nước từ 487 vào năm 2020 lên 1,489 vào năm 2021, phát sinh tổng chi phí là 1.2 tỷ đô la, tăng 188% so với 416 triệu đô la của năm trước.