సాధనాల యొక్క కొత్త విశ్లేషణ బ్లాక్ బస్తా రాన్సమ్వేర్ మరియు FIN7 (అకా కార్బనాక్) సమూహం మధ్య సంబంధాలను గుర్తించింది.
"బ్లాక్ బస్తా మరియు FIN7 ప్రత్యేక సంబంధాన్ని కొనసాగించాలని లేదా ఒకటి లేదా అంతకంటే ఎక్కువ మంది వ్యక్తులు రెండు గ్రూపులకు చెందినవారని ఈ లింక్ సూచించవచ్చు" అని సైబర్ సెక్యూరిటీ సంస్థ సెంటినెల్వన్ ది హ్యాకర్ న్యూస్తో భాగస్వామ్యం చేసిన సాంకేతిక వ్రాతలో పేర్కొంది.
ఈ సంవత్సరం ప్రారంభంలో ఉద్భవించిన బ్లాక్ బస్తా, సెప్టెంబర్ 2022 నాటికి 90కి పైగా సంస్థలను క్లెయిమ్ చేసిన ransomware స్ప్రీకి ఆపాదించబడింది. ఇది ప్రత్యర్థి బాగా వ్యవస్థీకృత మరియు మంచి వనరులు కలిగి ఉందని సూచిస్తుంది.
గ్రూప్ను ప్రత్యేకంగా చేసే ఒక ముఖ్యమైన అంశం ఏమిటంటే, దాని ఆపరేటర్లు అనుబంధ సంస్థలను నియమించుకోవడానికి ప్రయత్నించినట్లు లేదా డార్క్నెట్ ఫోరమ్లు లేదా క్రైమ్వేర్ మార్కెట్ప్లేస్లలో మాల్వేర్ను RaaSగా ప్రచారం చేసినట్లు ఎటువంటి సంకేతాలు లేవు.
ఇది బ్లాక్ బస్తా డెవలపర్లు గొలుసు నుండి అనుబంధ సంస్థలను తొలగించి, వారి స్వంత కస్టమ్ టూల్సెట్ ద్వారా ransomwareని అమలు చేసే అవకాశాన్ని పెంచింది లేదా ప్రత్యామ్నాయంగా వారి వార్జ్ను మార్కెట్ చేయాల్సిన అవసరం లేకుండా సన్నిహిత అనుబంధ సంస్థలతో కలిసి పని చేస్తుంది.
బ్లాక్ బస్తాతో కూడిన అటాక్ చెయిన్లు QBot (అకా Qakbot)ని ప్రభావితం చేస్తాయి, ఇది మైక్రో-ఆధారిత మైక్రోసాఫ్ట్ ఆఫీస్ డాక్యుమెంట్లను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్ల ద్వారా డెలివరీ చేయబడుతుంది, కొత్త ఇన్ఫెక్షన్లు ISO ఇమేజ్లు మరియు LNK డ్రాపర్ల ప్రయోజనాన్ని పొందుతాయి. డిఫాల్ట్గా వెబ్ నుండి డౌన్లోడ్ చేయబడిన ఫైల్లలో మాక్రోలను బ్లాక్ చేయాలనే నిర్ణయం.
ఈ దశలో డేటా ఎక్స్ఫిల్ట్రేషన్ మరియు అదనపు హానికరమైన మాడ్యూల్స్ డౌన్లోడ్ కోసం SystemBC (aka Coroxy) వంటి బ్యాక్డోర్లు కూడా ఉపయోగించబడతాయి, పార్శ్వ కదలికను నిర్వహించే ముందు మరియు ఇన్స్టాల్ చేయబడిన భద్రతా పరిష్కారాలను నిలిపివేయడం ద్వారా రక్షణను బలహీనపరిచేందుకు చర్యలు తీసుకుంటుంది.
ఇది బ్లాక్ బస్తా సంఘటనలలో ప్రత్యేకంగా ఉపయోగించబడే కస్టమ్ EDR ఎగవేత సాధనాన్ని కూడా కలిగి ఉంటుంది మరియు BIRDDOG అని పిలువబడే బ్యాక్డోర్ డబ్తో పొందుపరచబడింది, దీనిని SocksBot అని కూడా పిలుస్తారు మరియు ఇది గతంలో FIN7 సమూహానికి ఆపాదించబడిన అనేక దాడులలో ఉపయోగించబడింది.
FIN7 సైబర్ క్రైమ్ సిండికేట్, 2012 నుండి క్రియాశీలంగా ఉంది, ఆర్థిక మోసం కోసం రెస్టారెంట్, గ్యాంబ్లింగ్ మరియు హాస్పిటాలిటీ పరిశ్రమలను లక్ష్యంగా చేసుకుని పాయింట్-ఆఫ్-సేల్ (PoS) సిస్టమ్లను లక్ష్యంగా చేసుకుని పెద్ద ఎత్తున మాల్వేర్ ప్రచారాలను మౌంట్ చేసిన ట్రాక్ రికార్డ్ను కలిగి ఉంది.
"ఈ సమయంలో, FIN7 లేదా అనుబంధ సంస్థ తమ కొత్త కార్యకలాపాలను పాత వాటి నుండి విడదీయడానికి మొదటి నుండి టూల్స్ రాయడం ప్రారంభించే అవకాశం ఉంది" అని పరిశోధకులు ఆంటోనియో కోకోమాజీ మరియు ఆంటోనియో పిరోజీ చెప్పారు. "బాధిత రక్షణను బలహీనపరిచే వారి సాధనాల వెనుక ఉన్న డెవలపర్ (లు) FIN7 కోసం డెవలపర్గా ఉండవచ్చు."
ఇటీవలి దాడులలో రెండవ-దశ పేలోడ్గా కోబాల్ట్ స్ట్రైక్ మరియు బ్రూట్ రాటెల్ C4 ఫ్రేమ్వర్క్లను మోహరించడానికి బ్లాక్ బస్తా నటుడు క్వాక్బాట్ ట్రోజన్ను ఉపయోగించడం గమనించిన వారాల తర్వాత ఈ ఫలితాలు వచ్చాయి.
"క్రైమ్వేర్ పర్యావరణ వ్యవస్థ నిరంతరం విస్తరిస్తోంది, మారుతోంది మరియు అభివృద్ధి చెందుతోంది" అని పరిశోధకులు ముగించారు. "FIN7 (లేదా కార్బనాక్) తరచుగా నేర రంగంలో ఆవిష్కరిస్తుంది, బ్యాంకులు మరియు PoS వ్యవస్థలపై దాడులను వారి సహచరుల పథకాలకు మించి కొత్త ఎత్తులకు తీసుకువెళ్లింది."
US ఫైనాన్షియల్ క్రైమ్స్ ఎన్ఫోర్స్మెంట్ నెట్వర్క్ (FinCEN) దేశీయ సంస్థలను లక్ష్యంగా చేసుకుని ransomware దాడుల పెరుగుదలను 2020లో 487 నుండి 2021లో 1,489కి పెంచినట్లు నివేదించినందున, ఇది మొత్తం ఖర్చు $1.2 బిలియన్ల కంటే $1.2 బిలియన్లు, TP3T1881 మిలియన్లు పెరిగింది. సంవత్సరం.