一项新的工具分析确定了 Black Basta Ransomware 与 FIN7(又名 Carbanak)组织之间的联系。
“这种联系可能表明 Black Basta 和 FIN7 保持着特殊关系,或者一个或多个人属于这两个群体,”网络安全公司 SentinelOne 在与黑客新闻分享的一篇技术文章中说。
今年早些时候出现的 Black Basta 被归因于勒索软件狂潮,截至 2022 年 9 月,该勒索软件已经夺走了 90 多家组织的生命。这表明对手组织严密,资源充足。
使该组织与众不同的一个值得注意的方面是,没有迹象表明其运营商试图招募附属机构或在暗网论坛或犯罪软件市场上将恶意软件作为 RaaS 进行广告宣传。
这增加了 Black Basta 开发人员要么从链中删除分支机构并通过他们自己的自定义工具集部署勒索软件,要么与一组紧密的分支机构合作而无需营销他们的 warez 的可能性。
众所周知,涉及 Black Basta 的攻击链会利用 QBot(又名 Qakbot),而 QBot 又通过包含基于宏的 Microsoft Office 文档的网络钓鱼电子邮件进行传播,较新的感染利用 ISO 图像和 LNK dropper 来绕过 Microsoft决定默认阻止从网络下载的文件中的宏。
在此阶段还使用了后门程序,例如 SystemBC(又名 Coroxy),用于数据泄露和下载其他恶意模块,然后进行横向移动并采取措施通过禁用已安装的安全解决方案来削弱防御。
这还包括一个定制的 EDR 规避工具,该工具专门用于 Black Basta 事件,并嵌入了一个名为 BIRDDOG 的后门,也称为 SocksBot,它已被用于之前归因于 FIN7 组的几次攻击。
FIN7 网络犯罪集团自 2012 年以来一直活跃,在针对餐饮、赌博和酒店业金融欺诈的销售点 (PoS) 系统发起大规模恶意软件活动方面有着良好的记录。
研究人员 Antonio Cocomazzi 和 Antonio Pirozzi 说:“在这一点上,FIN7 或附属机构可能开始从头开始编写工具,以便将他们的新操作与旧操作分开。” “破坏受害者防御的工具背后的开发人员很可能是,或者曾经是 FIN7 的开发人员。”
在观察到 Black Basta 演员使用 Qakbot 木马部署 Cobalt Strike 和 Brute Ratel C4 框架作为最近攻击中的第二阶段有效负载后数周,调查结果就出现了。
“犯罪软件生态系统正在不断扩大、变化和发展,”研究人员总结道。 “FIN7(或 Carbanak)通常因在犯罪领域进行创新而受到赞誉,将对银行和 PoS 系统的攻击提升到同行计划之外的新高度。”
随着美国金融犯罪执法网络 (FinCEN) 的披露,针对国内实体的勒索软件攻击从 2020 年的 487 起激增至 2021 年的 1,489 起,造成的总成本为 $12 亿美元,比之前的 $416 亿美元猛增 188%年。
简体中文 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada