Main menu

Pages

Experten bringen die Ransomware-Operation Black Basta mit der Cyberkriminalität FIN7Security Affairs in Verbindung

Meta description

Sentinel Labs hat Beweise gefunden, die die Ransomware-Gang Black Basta mit der finanziell motivierten Hackergruppe FIN7 in Verbindung bringen.

Sicherheitsforscher von Sentinel Labs haben Einzelheiten über die TTPs von Black Basta mitgeteilt und glauben, dass es sehr wahrscheinlich ist, dass die Ransomware-Operation Verbindungen zu FIN7 hat.

Experten haben die von der Ransomware-Bande bei den Angriffen verwendeten Tools analysiert, einige davon sind benutzerdefinierte Tools, einschließlich EDR-Umgehungstools. SentinelLabs glaubt, dass der Entwickler dieser EDR-Umgehungstools ein Entwickler der FIN7-Bande ist oder war.

Andere Beweise, die die beiden verbinden, sind IP-Adressen und spezifische TTPs (Taktiken, Techniken und Verfahren), die von FIN7 Anfang 2022 verwendet und Monate später bei tatsächlichen Black-Basta-Angriffen gesehen wurden.

Black Basta ist seit April 2022 aktiv und implementiert wie andere Ransomware-Operationen ein Angriffsmodell mit doppelter Erpressung.

Auf der anderen Seite ist FIN7 eine finanziell motivierte russische Gruppe, die mindestens seit 2015 aktiv ist.

Eine Analyse von Sentinel Labs ergab, dass die Betreiber von Black Basta-Ransomware ihr eigenes Toolkit entwickeln und pflegen, sie haben nur die Zusammenarbeit mit einer begrenzten und vertrauenswürdigen Gruppe von Partnern dokumentiert.

„SentinelLabs begann Anfang Juni mit der Verfolgung der Black Basta-Operationen, nachdem es Überschneidungen zwischen angeblich unterschiedlichen Fällen festgestellt hatte. Zusammen mit anderen Forschern haben wir festgestellt, dass Black-Basta-Infektionen mit Qakbot begannen, der per E-Mail und makrobasierten MS Office-Dokumenten, ISO+LNK-Droppern und .docx-Dokumenten übermittelt wurde, die die Laufzeit-Schwachstelle MSDTC Remote Code, CVE-2022-30190, ausnutzten. liest den von den Experten veröffentlichten Bericht. „Einer der interessanten anfänglichen Zugriffsvektoren, die wir beobachtet haben, war ein ISO-Dropper, der als ‚Report Jul 14 39337.iso‘ geliefert wurde und einen DLL-Hijack in calc.exe ausnutzt.“

Der Bericht beschreibt die anfänglichen Zugriffsaktivitäten von Black Basta, die manuelle Aufklärung, seitliche Bewegungen, Techniken zur Eskalation von Berechtigungen und Tools für die Fernverwaltung.

Um die auf dem Zielcomputer installierten Sicherheitsmechanismen zu schwächen, zielt Black Basta auf die installierten Sicherheitslösungen mit spezifischen Batch-Skripten ab, die in das Windows-Verzeichnis heruntergeladen werden.

Bedrohungsakteure deaktivierten Windows Defender, indem sie die folgenden Skripts ausführten:

\Windows\ILUg69ql1.bat
\Windows\ILUg69ql2.bat
\Windows\ILUg69ql3.bat

Die Angreifer verwendeten auch dieselbe Namenskonvention (ILUg69ql gefolgt von einer Zahl) für die Batch-Skripte, die bei verschiedenen Eindringlingen gefunden wurden.

powershell -ExecutionPolicy Bypass -command "New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' -Name DisableAntiSpyware -Value 1 -PropertyType DWORD -Force"
powershell -ExecutionPolicy Bypass -command "Set-MpPreference -DisableRealtimeMonitoring 1"
powershell -ExecutionPolicy Bypass Uninstall-WindowsFeature -Name Windows-Defende

Mit dem Parameter DisableAntiSpyware können Sie Windows Defender Antivirus deaktivieren, um eine andere Sicherheitslösung bereitzustellen. Das DisableRealtimeMonitoring wird verwendet, um den Echtzeitschutz zu deaktivieren, dann Uninstall-WindowsFeature -Name Windows-Defender, um Windows Defender zu deinstallieren.

Experten stellten fest, dass Black Basta-Betreiber ab Juni 2022 ein zuvor undokumentiertes benutzerdefiniertes EDR-Umgehungstool einsetzten.

Die Forscher entdeckten ein benutzerdefiniertes Tool, WindefCheck.exe, eine ausführbare Datei, die UPX enthält. Das Beispiel ist eine mit Visual Basic kompilierte Binärdatei, die eine gefälschte Windows-Sicherheits-GUI und ein Taskleistensymbol mit einem „fehlerfreien“ Systemstatus anzeigt, obwohl Windows Defender und andere Systemfunktionen deaktiviert sind.

Im Hintergrund deaktiviert die Malware Windows Defender, EDR und Antivirus-Tools, bevor sie die Ransomware-Payload ablegt.

Basta Black Fi7 benutzerdefiniertes Werkzeug

Die Forscher entdeckten mehrere Proben im Zusammenhang mit dem oben genannten Tool und fanden eine mit einem unbekannten Paketierer, der als „SocksBot“ identifiziert wurde. (auch bekannt als BIRDDOG)“ Dies ist eine Hintertür, die von der FIN7-Gruppe seit mindestens 2018 verwendet wird und auch eine Verbindung zu einer C2 45-IP-Adresse herstellt[.]67[.]229[.]148 gehört zu „pq.hosting“, einem narrensicheren Hosting-Anbieter, der von FIN7 in seinem Betrieb verwendet wird.

„Wir halten es für sehr wahrscheinlich, dass die BlackBasta-Ransomware-Operation Verbindungen zu FIN7 hat. Darüber hinaus halten wir es für wahrscheinlich, dass der/die Entwickler hinter ihren Tools zur Behinderung der Verteidigung der Opfer ein Entwickler für FIN7 sind oder Summer haben , schließt den Bericht ab: „Während wir die Hand hinter der schwer fassbaren Ransomware-Operation Black Basta klären, sind wir nicht überrascht, ein bekanntes Gesicht hinter dieser ehrgeizigen Operation hinter verschlossenen Türen zu sehen. Während es im Bereich Ransomware und doppelte Erpressung viele neue Gesichter und verschiedene Bedrohungen gibt, erwarten wir, dass bestehende professionelle Kriminalitätsteams ihren eigenen Beitrag zur Maximierung illegaler Gewinne auf neue Weise leisten werden.

Folge mir auf Twitter: @Sicherheitsfragen und Facebook

Pierluigi Paganini

(Sicherheitsfälle Hacken, FIN7)





Blog In 2021 joker0o xyz

Commentaires