Eine neue Analyse von Tools hat Verbindungen zwischen Black Basta Ransomware und der FIN7-Gruppe (alias Carbanak) identifiziert.
„Diese Verbindung könnte entweder darauf hindeuten, dass Black Basta und FIN7 eine besondere Beziehung unterhalten oder dass eine oder mehrere Personen beiden Gruppen angehören“, sagte das Cybersicherheitsunternehmen SentinelOne in einem technischen Bericht, der The Hacker News zur Verfügung gestellt wurde.
Black Basta, das Anfang dieses Jahres auftauchte, wurde einer Ransomware-Flut zugeschrieben, die bis September 2022 über 90 Organisationen in Mitleidenschaft gezogen hat. Dies deutet darauf hin, dass der Angreifer sowohl gut organisiert als auch mit ausreichend Ressourcen ausgestattet ist.
Ein bemerkenswerter Aspekt, der die Gruppe einzigartig macht, ist die Tatsache, dass es keine Anzeichen dafür gibt, dass ihre Betreiber versuchen, Partner zu rekrutieren oder die Malware als RaaS in Darknet-Foren oder Crimeware-Marktplätzen zu bewerben.
Dies hat die Möglichkeit aufgeworfen, dass die Black Basta-Entwickler entweder Partner aus der Kette ausschließen und die Ransomware über ihr eigenes benutzerdefiniertes Toolset bereitstellen oder alternativ mit einer engen Gruppe von Partnern zusammenarbeiten, ohne ihre Warez vermarkten zu müssen.
Es ist bekannt, dass Angriffsketten mit Black Basta QBot (alias Qakbot) nutzen, der wiederum über Phishing-E-Mails mit makrobasierten Microsoft Office-Dokumenten zugestellt wird, wobei neuere Infektionen ISO-Images und LNK-Dropper ausnutzen, um Microsofts zu umgehen Entscheidung, Makros in Dateien, die aus dem Internet heruntergeladen werden, standardmäßig zu blockieren.
In dieser Phase werden auch Backdoors wie SystemBC (auch bekannt als Coroxy) für die Datenexfiltration und das Herunterladen zusätzlicher bösartiger Module verwendet, bevor die laterale Bewegung durchgeführt und Maßnahmen ergriffen werden, um die Abwehr durch Deaktivierung installierter Sicherheitslösungen zu beeinträchtigen.
Dazu gehört auch ein benutzerdefiniertes EDR-Umgehungstool, das ausschließlich bei Black Basta-Vorfällen zum Einsatz kommt und in eine Hintertür namens BIRDDOG eingebettet ist, die auch als SocksBot bezeichnet wird und bei mehreren Angriffen verwendet wurde, die zuvor der FIN7-Gruppe zugeschrieben wurden.
Das seit 2012 aktive FIN7-Syndikat für Cyberkriminalität hat eine Erfolgsbilanz bei der Durchführung groß angelegter Malware-Kampagnen, die auf Point-of-Sale-Systeme (PoS) abzielen und auf die Restaurant-, Glücksspiel- und Gastgewerbebranche für Finanzbetrug abzielen.
„Zu diesem Zeitpunkt ist es wahrscheinlich, dass FIN7 oder ein verbundenes Unternehmen begonnen hat, Tools von Grund auf neu zu schreiben, um ihre neuen Operationen von den alten zu trennen“, sagten die Forscher Antonio Cocomazzi und Antonio Pirozzi. „Es ist wahrscheinlich, dass der/die Entwickler hinter ihren Tools zur Beeinträchtigung der Opferabwehr ein Entwickler für FIN7 ist oder war.“
Die Ergebnisse kommen Wochen, nachdem beobachtet wurde, wie der Black Basta-Akteur den Qakbot-Trojaner verwendete, um Cobalt Strike- und Brute Ratel C4-Frameworks als Nutzlast der zweiten Stufe bei jüngsten Angriffen einzusetzen.
„Das Crimeware-Ökosystem wird ständig erweitert, verändert und entwickelt sich weiter“, schlussfolgerten die Forscher. „FIN7 (oder Carbanak) wird oft die Innovation im kriminellen Bereich zugeschrieben, die Angriffe auf Banken und PoS-Systeme auf neue Höhen hebt, die über die Schemata ihrer Kollegen hinausgehen.“
Die Offenlegung erfolgt auch, als das US Financial Crimes Enforcement Network (FinCEN) einen Anstieg der Ransomware-Angriffe auf inländische Unternehmen von 487 im Jahr 2020 auf 1.489 im Jahr 2021 meldete, die Gesamtkosten von 1,2 Milliarden $ verursachten, ein Sprung von 188% von $416 Millionen im Vorjahr Jahr.
Deutsch 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada