Un nuevo análisis de las herramientas utilizadas por la operación de ransomware Black Basta ha identificado vínculos entre el actor de amenazas y el grupo FIN7 (también conocido como Carbanak).
Este enlace «podría sugerir que Black Basta y FIN7 mantienen una relación especial o que uno o más individuos pertenecen a ambos grupos», la firma de ciberseguridad SentinelOne. dijo en un artículo técnico compartido con The Hacker News.
Black Basta, que surgió a principios de este año, se ha atribuido a una ola de ransomware que se ha cobrado más de 90 organizaciones hasta septiembre de 2022, lo que sugiere que el adversario está bien organizado y tiene buenos recursos.
Un aspecto notable que hace que el grupo se destaque, según SentinelOne, es el hecho de que no ha habido señales de que sus operadores intenten reclutar afiliados o anunciar el malware como RaaS en foros de darknet o mercados de crimeware.
Esto ha planteado la posibilidad de que los desarrolladores de Black Basta eliminen a los afiliados de la cadena e implementen el ransomware a través de su propio conjunto de herramientas personalizado o, alternativamente, trabajen con un conjunto cercano de afiliados sin la necesidad de comercializar su warez.
Se sabe que las cadenas de ataque que involucran a Black Basta aprovechan QBot (también conocido como Qakbot), que, a su vez, se entrega por medio de correos electrónicos de phishing que contienen documentos de Microsoft Office basados en macros, y las infecciones más nuevas aprovechan las imágenes ISO y los cuentagotas LNK para eludir los correos electrónicos de Microsoft. decisión de bloquear macros en archivos descargados de la web por defecto.
Una vez que Qakbot obtiene un punto de apoyo persistente en el entorno de destino, el operador de Black Basta entra en escena para realizar un reconocimiento conectándose con la víctima a través de la puerta trasera, y luego explota vulnerabilidades conocidas (por ejemplo, ZeroLogon, PrintNightmare y NoPac) para aumentar los privilegios.
También se utilizan en esta etapa puertas traseras como SystemBC (también conocido como Coroxy) para la filtración de datos y la descarga de módulos maliciosos adicionales, antes de realizar un movimiento lateral y tomar medidas para perjudicar las defensas al deshabilitar las soluciones de seguridad instaladas.
Esto también incluye una herramienta de evasión EDR personalizada que se ha utilizado exclusivamente en incidentes de Black Basta y viene integrada con una puerta trasera denominada BIRDDOG, también llamada como calcetinesbot y que ha sido utilizado en varios ataques previamente atribuidos al grupo FIN7.
El sindicato de delitos cibernéticos FIN7, activo desde 2012, tiene un historial de montaje de campañas de malware a gran escala dirigidas a los sistemas de punto de venta (PoS) destinados a las industrias de restaurantes, juegos de azar y hotelería para el fraude financiero.
Sin embargo, en los últimos dos años, el grupo se pasó al ransomware para generar ingresos de forma ilícita, primero como Darkside y luego como BlackMatter y BlackCat, sin mencionar el establecimiento de empresas fachada falsas para reclutar probadores de penetración involuntarios para realizar ataques de ransomware.
«En este punto, es probable que FIN7 o una afiliada comenzaran a crear herramientas desde cero para desvincular sus nuevas operaciones de las antiguas», dijeron los investigadores Antonio Cocomazzi y Antonio Pirozzi. «Es probable que los desarrolladores detrás de sus herramientas para afectar las defensas de las víctimas sean, o hayan sido, desarrolladores de FIN7».
Los hallazgos se producen semanas después de que se observara al actor de Black Basta usando el troyano Qakbot para implementar los marcos Cobalt Strike y Brute Ratel C4 como una carga útil de segunda etapa en ataques recientes.
«El ecosistema del crimeware se expande, cambia y evoluciona constantemente», concluyeron los investigadores. «A FIN7 (o Carbanak) a menudo se le atribuye la innovación en el espacio criminal, llevando los ataques contra bancos y sistemas PoS a nuevas alturas más allá de los esquemas de sus pares».
La divulgación también llega como la Red de Ejecución de Delitos Financieros de EE. UU. (FinCEN) reportado un aumento en los ataques de ransomware dirigidos a entidades nacionales de 487 en 2020 a 1489 en 2021, con un costo total de 1200 millones de dólares, un aumento del 188 % con respecto a los 416 millones de dólares del año anterior.