Analisis alat baru telah mengidentifikasi hubungan antara Black Basta Ransomware dan grup FIN7 (alias Carbanak).
“Tautan ini dapat menunjukkan bahwa Black Basta dan FIN7 mempertahankan hubungan khusus atau bahwa satu atau lebih individu menjadi bagian dari kedua kelompok tersebut,” kata firma keamanan siber SentinelOne dalam tulisan teknis yang dibagikan kepada The Hacker News.
Black Basta, yang muncul awal tahun ini, telah dikaitkan dengan serangan ransomware yang telah mengklaim lebih dari 90 organisasi pada September 2022. Ini menunjukkan bahwa musuh terorganisir dengan baik dan memiliki sumber daya yang baik.
Salah satu aspek penting yang membuat grup ini unik adalah fakta bahwa tidak ada tanda-tanda operatornya mencoba merekrut afiliasi atau mengiklankan malware sebagai RaaS di forum darknet atau pasar crimeware.
Ini telah meningkatkan kemungkinan bahwa pengembang Black Basta memotong afiliasi dari rantai dan menyebarkan ransomware melalui perangkat khusus mereka sendiri atau sebagai alternatif bekerja dengan sekumpulan afiliasi dekat tanpa perlu memasarkan perangkat mereka.
Rantai serangan yang melibatkan Black Basta diketahui memanfaatkan QBot (alias Qakbot), yang, pada gilirannya, dikirimkan melalui email phishing yang berisi dokumen Microsoft Office berbasis makro, dengan infeksi yang lebih baru memanfaatkan gambar ISO dan penetes LNK untuk menyiasati Microsoft. keputusan untuk memblokir makro dalam file yang diunduh dari web secara default.
Juga digunakan pada tahap ini adalah pintu belakang seperti SystemBC (alias Coroxy) untuk eksfiltrasi data dan pengunduhan modul jahat tambahan, sebelum melakukan gerakan lateral dan mengambil langkah untuk merusak pertahanan dengan menonaktifkan solusi keamanan yang terpasang.
Ini juga termasuk alat penghindaran EDR khusus yang secara eksklusif digunakan dalam insiden Black Basta dan disematkan dengan pintu belakang yang dijuluki BIRDDOG, juga disebut sebagai SocksBot dan yang telah digunakan dalam beberapa serangan yang sebelumnya dikaitkan dengan grup FIN7.
Sindikat kejahatan dunia maya FIN7, aktif sejak 2012, memiliki rekam jejak pemasangan kampanye malware skala besar yang menargetkan sistem point-of-sale (PoS) yang ditujukan untuk industri restoran, perjudian, dan perhotelan untuk penipuan keuangan.
“Pada titik ini, kemungkinan FIN7 atau afiliasinya mulai menulis alat dari awal untuk memisahkan operasi baru mereka dari yang lama,” kata peneliti Antonio Cocomazzi dan Antonio Pirozzi. “Kemungkinan pengembang di balik alat mereka untuk merusak pertahanan korban adalah, atau dulunya, pengembang untuk FIN7.”
Temuan ini muncul beberapa minggu setelah aktor Black Basta diamati menggunakan trojan Qakbot untuk menyebarkan kerangka kerja Cobalt Strike dan Brute Ratel C4 sebagai muatan tahap kedua dalam serangan baru-baru ini.
“Ekosistem perangkat kejahatan terus berkembang, berubah, dan berkembang,” para peneliti menyimpulkan. “FIN7 (atau Carbanak) sering dipuji karena berinovasi dalam ruang kriminal, melakukan serangan terhadap bank dan sistem PoS ke level baru di luar skema rekan-rekan mereka.”
Pengungkapan itu juga tiba ketika Jaringan Penegakan Kejahatan Keuangan AS (FinCEN) melaporkan lonjakan serangan ransomware yang menargetkan entitas domestik dari 487 pada 2020 menjadi 1.489 pada 2021, menimbulkan total biaya $1,2 miliar, melonjak 188% dari sebelumnya $416 juta. tahun.
Bahasa Indonesia 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada