2012’de ortaya çıkmasından bu yana 1,2 milyar doların üzerinde para çaldığı tahmin edilen, finansal olarak motive olmuş bir siber suç örgütü olan FIN7, bu yılın en üretken fidye yazılımı ailelerinden biri olan Black Basta’nın arkasında.
Bu, SentinelOne’daki araştırmacıların, Black Basta kampanyası ile önceki FIN7 kampanyaları arasındaki taktik, teknik ve prosedürlerdeki çeşitli benzerlikler olduğunu söylediklerine dayanarak vardıkları sonuç. Bunlar arasında, uç nokta algılama ve yanıt (EDR) ürünlerinden kaçınma aracındaki benzerlikler vardır; Cobalt Strike beacon’ı paketlemek için paketleyicilerdeki benzerlikler ve Birddog adlı bir arka kapı; kaynak kodu çakışıyor; ve çakışan IP adresleri ve barındırma altyapısı.
Özel Araçlar Koleksiyonu
SentinelOne’ın soruşturması Black Basta’nın faaliyetleri, tehdit aktörünün saldırı yöntemleri ve araçları hakkında yeni bilgiler de ortaya çıkardı. Örneğin, araştırmacılar, birçok Black Basta saldırısında, tehdit aktörlerinin, kurbanın Active Directory ortamı hakkında bilgi toplamak için ücretsiz komut satırı aracı ADFind’in benzersiz bir şekilde gizlenmiş bir sürümünü kullandığını buldu.
Black Basta operatörlerinin Windows Yazdırma Biriktiricisi hizmetinde geçen yılki PrintNightmare güvenlik açığından yararlandığını buldular (CVE-2021-34527) ve 2020’den Windows Netlogon Uzak Protokolü’ndeki ZeroLogon hatası (CVE-2020-1472) birçok kampanyada. Her iki güvenlik açığı da saldırganlara etki alanı denetleyicilerinde yönetici erişimi elde etmenin bir yolunu sunar. SentinelOne, Black Basta saldırılarının “NoPac” ı kullanan bir istismar gözlemlediğini de söyledi. iki kritik Active Directory tasarım kusurunu birleştirir geçen yıldan (CVE-2021-42278 ve CVE-2021-42287). Saldırganlar, normal bir etki alanı kullanıcısının ayrıcalıklarını etki alanı yöneticisine kadar yükseltmek için bu açığı kullanabilir.
Haziran ayında Black Basta’yı izlemeye başlayan SentinelOne, Qakbot’un Trojan’a dönüşen kötü amaçlı yazılım damlasıyla başlayan enfeksiyon zincirini gözlemledi. Araştırmacılar, tehdit aktörünün, AdFind, iki özel .Net derlemesi, SoftPerfect’in ağ tarayıcısı ve WMI dahil olmak üzere çeşitli araçlar kullanarak kurban ağında keşif yapmak için arka kapıyı kullandığını buldu. Bu aşamadan sonra, tehdit aktörü yanal olarak hareket etmek, ayrıcalıkları yükseltmek ve sonunda fidye yazılımını bırakmak için çeşitli Windows güvenlik açıklarından yararlanmaya çalışır. Trend Micro, bu yılın başlarında Qakbot grubunu, güvenliği ihlal edilmiş ağlara erişimi Black Basta ve diğer fidye yazılımı operatörlerine satıyor olarak tanımlamıştı.
SentinelOne’dan SentinelLabs, 3 Kasım’daki bir blog yazısında, “Black Basta fidye yazılımı operasyonunun FIN7 ile bağları olma olasılığının yüksek olduğunu değerlendiriyoruz,” dedi. Defences, FIN7 için bir geliştiriciydi ya da öyleydi.”
Gelişmiş Fidye Yazılımı Tehdidi
Black Basta fidye yazılımı operasyonu Nisan 2022’de ortaya çıktı ve Eylül ayının sonuna kadar en az 90 kurban olduğunu iddia etti. Trend Micro, fidye yazılımını şu şekilde tanımladı: gelişmiş bir şifreleme rutinine sahip olmak muhtemelen kurbanlarının her biri için benzersiz ikili dosyalar kullanır. Saldırılarının birçoğu, tehdit aktörlerinin, şifrelemeden önce kurban ortamından hassas verileri sızdırdığı çifte gasp tekniğini içeriyordu.
2022’nin üçüncü çeyreğinde, Black Basta fidye yazılımı enfeksiyonları %9’u oluşturuyor Digital Shadows’tan alınan verilere göre, tüm fidye yazılımı kurbanları arasında en yaygın fidye yazılımı tehdidi olmaya devam eden LockBit’in arkasında ikinci sırada yer alıyor.
Bir ReliaQuest şirketi olan Digital Shadows’ta kıdemli siber tehdit istihbarat analisti Nicole Hoffman, “Digital Shadows, üretim de dahil olmak üzere endüstriyel mal ve hizmet endüstrisini hedefleyen Black Basta fidye yazılımı operasyonunu diğer tüm sektörlerden daha fazla gözlemledi” diyor. “İnşaat ve malzeme sektörü, fidye yazılımı operasyonu tarafından bugüne kadar en çok hedeflenen ikinci sektör olarak yakından takip ediyor.”
FIN7, on yıldır güvenlik endüstrisinin başına bela olmuştur. Grubun ilk saldırıları kredi ve banka kartı veri hırsızlığına odaklandı. Ancak yıllar içinde, aynı zamanda Carbanak Grubu ve Kobalt Grubu olarak da izlenen FIN7, en son fidye yazılımı alanı da dahil olmak üzere diğer siber suç operasyonlarını da çeşitlendirdi. Digital Shadows dahil olmak üzere birçok satıcı, FIN7’nin REvil, Ryuk, DarkSide, BlackMatter ve ALPHV dahil olmak üzere birden fazla fidye yazılımı grubuyla bağlantısı olduğundan şüpheleniyor.
Hoffman, “Yani, bu sefer FIN7 ile başka bir potansiyel ilişki görmek şaşırtıcı olmaz” diyor. “Ancak, iki tehdit grubunu birbirine bağlamanın her zaman gösteriyi tek bir grubun yürüttüğü anlamına gelmediğini belirtmek önemlidir. Grupların birlikte çalışması gerçekçi bir şekilde mümkündür.”
SentinelLabs’a göre, Black Basta operasyonunun saldırılarında kullandığı bazı araçlar, FIN7’nin yeni fidye yazılımı etkinliğini eskisinden ayırmaya çalıştığını gösteriyor. SentinelOne, böyle bir aracın, bir FIN7 geliştiricisi tarafından yazılmış gibi görünen ve başka herhangi bir fidye yazılımı işleminde gözlemlenmeyen özel bir savunma kaçırma ve bozulma aracı olduğunu söyledi.