Az eszközök új elemzése kapcsolatokat azonosított a Black Basta Ransomware és a FIN7 (más néven Carbanak) csoport között.
"Ez a kapcsolat arra utalhat, hogy a Black Basta és a FIN7 különleges kapcsolatot tart fenn, vagy egy vagy több személy mindkét csoporthoz tartozik" - mondta a SentinelOne kiberbiztonsági cég a The Hacker News-nak megosztott technikai írásában.
Az év elején megjelent Black Bastát egy zsarolóvírus-robbanásnak tulajdonítják, amely 2022 szeptemberéig több mint 90 szervezetet követelt. Ez arra utal, hogy az ellenfél jól szervezett és erőforrásokkal is rendelkezik.
Az egyik figyelemre méltó szempont, amely egyedivé teszi a csoportot, az a tény, hogy nem volt jele annak, hogy üzemeltetői megpróbáltak volna leányvállalatokat toborozni, vagy RaaS-ként hirdették volna a rosszindulatú programot a darknet fórumokon vagy bűnügyi piactereken.
Ez felveti annak lehetőségét, hogy a Black Basta fejlesztői vagy kiiktatják a láncból a ransomware-t, és saját egyéni eszközkészletükön keresztül telepítik a ransomware-t, vagy pedig szorosan együttműködnek a leányvállalatokkal anélkül, hogy áruba kellene bocsátaniuk a termékeiket.
A Black Bastát érintő támadási láncok köztudottan kihasználják a QBotot (más néven Qakbot), amelyet viszont makróalapú Microsoft Office dokumentumokat tartalmazó adathalász e-mailek útján juttatnak el, az újabb fertőzések pedig ISO-képeket és LNK droppereket használnak a Microsoft megkerülésére. a makrók alapértelmezés szerinti blokkolása az internetről letöltött fájlokban.
Ebben a szakaszban olyan hátsó ajtókat is használnak, mint például a SystemBC (más néven Coroxy) az adatok kiszűrésére és további rosszindulatú modulok letöltésére, mielőtt oldalirányú mozgást hajtanak végre, és lépéseket tesznek a védelem rontására a telepített biztonsági megoldások letiltásával.
Ez magában foglal egy egyedi EDR-kijátszási eszközt is, amelyet kizárólag a Black Basta incidenseknél használnak, és egy BIRDDOG névre keresztelt hátsó ajtóba van beépítve, amelyet SocksBotnak is neveznek, és amelyet korábban a FIN7 csoportnak tulajdonított több támadásban is alkalmaztak.
A 2012 óta működő FIN7 kiberbűnözés elleni szindikátus nagyszabású rosszindulatú programkampányokat indított, amelyek az éttermi, szerencsejáték- és vendéglátóipart célozzák meg pénzügyi csalás céljából az értékesítési pont-rendszereket (PoS).
"Ebben a pillanatban valószínű, hogy a FIN7 vagy egy leányvállalata a semmiből kezdett eszközöket írni, hogy elválaszthassa új műveleteit a régitől" - mondta Antonio Cocomazzi és Antonio Pirozzi kutatók. „Valószínűleg az áldozatok védelmét rontó eszközeik mögött álló fejlesztő(k) a FIN7 fejlesztője(i) voltak vagy voltak.”
A felfedezések hetekkel azután érkeztek, hogy a Black Basta színészt a Qakbot trójai segítségével Cobalt Strike és Brute Ratel C4 keretrendszerek másodlagos rakományként történő telepítésére figyelték meg a közelmúltbeli támadásokban.
„A bűnügyi ökoszisztéma folyamatosan bővül, változik és fejlődik” – összegezték a kutatók. „A FIN7-et (vagy Carbanakot) gyakran a bűnügyi téren való innovációért tartják számon, és a bankok és a PoS-rendszerek elleni támadásokat a társaik tervein túlmutató magasságokba emeli.”
A nyilvánosságra hozatal azzal is megérkezik, hogy az Egyesült Államok Pénzügyi Bűnüldözési Hálózata (FinCEN) arról számolt be, hogy a hazai szervezeteket célzó ransomware támadások száma a 2020-as 487-ről 1489-re nőtt 2021-ben, ami összesen $1,2 milliárdot jelent, ami 188% ugrás a korábbi 116TP4T-hoz képest. év.
Magyar 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada