Sentinel Labs'taki güvenlik araştırmacıları, siyah Basta fidye yazılımı çetesini "Carbanak" olarak da bilinen finansal olarak motive edilen hack grubu FIN7 ile ilişkilendiren kanıtları ortaya çıkardılar.
Ransomware çetesi tarafından saldırılarda kullanılan araçları analiz ederken, araştırmacılar FIN7 için bir geliştiricinin, Haziran 2022'den bu yana sadece Black Basta tarafından kullanılan EDR (uç nokta tespiti ve yanıt) kaçırma araçlarını yazdığını işaret ettiler.
İkisini birbirine bağlayan diğer kanıtlar, 2022'nin başlarında FIN7 tarafından kullanılan ve aylar sonra gerçek siyah Basta saldırılarında görülen IP adreslerini ve belirli TTP'leri (taktikler, teknikler ve prosedürler) içerir.
Fin7, en az 2015'ten beri aktif olan, POS kötü amaçlı yazılımları konuşlandıran ve yüzlerce firmaya karşı hedeflenen mızrak aktı saldırıları başlatan Rusça konuşan, finansal olarak motive olmuş bir hack grubudur.
2020'de grup fidye yazılımı alanını keşfetmeye başladı ve Ekim 2021'e kadar kendi ağ saldırı operasyonunu kurduğu ortaya çıktı.
Bir 2022 Mantiant raporu, FIN7'nin Maze, Ryuk, Darkside ve Blackcat/ALPHV dahil olmak üzere çeşitli fidye yazılımı çeteleriyle çalıştığını ve görünüşe göre ilk uzlaşmayı gerçekleştirdiğini açıkladı.
Black Basta, Nisan 2022'de başlatılan bir fidye yazılımı operasyonudur ve derhal birden fazla yüksek profilli kurbanı duyurarak ve birçok analisti bir Conti yeniden markalığına ikna ederek veya en azından şimdi sutma operasyonundan üye olan üyeleri içeriyor.
Yeni fidye yazılımı işlemi, kendisini hizmet olarak fidye yazılımı veya işe alım iştirakleri olarak tanıtmayan kapalı bir profil tuttu, bu da özel bir grup olabileceğini gösterdi.
Haziran 2022'den itibaren Black Basta, yalnızca üyeleri tarafından kullanılan özel bir EDR kaçınma aracı kullanımı gözlemlendi.
Bu araca daha derin kazarak Sentinel Labs, kullanıcılara Windows Defender'ın normal çalıştığı yanılsamasını veren sahte Windows Güvenlik GUI ve tepsi simgesi görüntüleyen bir yürütülebilir "Windefcheck.exe" buldu.
Bununla birlikte, arka planda, kötü amaçlı yazılım Windows Defender, EDR ve antivirüs araçlarını devre dışı bırakarak hiçbir şeyin veri açığa çıkması ve şifreleme sürecini tehlikeye atmayacağını garanti eder.
Bu araç aşağıda gösterilmiştir, burada en üst görüntü sahte Windows güvenlik ekranını gösterir, çeşitli güvenlik ayarları etkin görünür ve cihazı korur.
Ancak, altındaki ekran bu güvenlik ayarlarının devre dışı bırakıldığını gösterir.
Analistler, bu araca bağlı daha fazla örnek aldı ve Fin 7'nin en az 2018'den beri kullandığı ve geliştirdiği bir arka kapı olan 'Socksbot' olarak tanımlanan bilinmeyen bir paketleyici ile dolu bir tane buldu.
Ayrıca, arka kapı "PQ.Hosting" a ait bir C2 IP adresine bağlanır, kurşun geçirmez barındırma sağlayıcısı FIN7 güvenir ve düzenli olarak kullanır.
“Black Basta tarafından kullanılan değer düşüklüğü aracını geliştiren tehdit aktörünün, FIN7 işlemlerinde kullanılan Packer kaynak koduna erişimi olan aynı aktör olduğunu ve böylece ilk kez iki grup arasında olası bir bağlantı kurduğunu değerlendiriyoruz” diye açıklıyor. Sentinel Labs tarafından rapor.
Fin7 ve Black Basta arasındaki bir bağlantının ek kanıtı, Fin7’nin 2022'nin başlıca Kobalt Strike ve MeterPreter C2 çerçeveleriyle yapılan denemeleri simüle edilmiş kötü amaçlı yazılımları düşüren saldırılarla ilgilidir.
Ay aylar sonra Black Basta'nın gerçek saldırılarında aylar sonra kesin özel araçlar, eklentiler ve teslimat yöntemlerini kullanan aynı etkinlik gözlenmiştir.
Bu teknik benzerlikler FIN7 üyelerinin Black Basta operasyonunun bir parçası olduğuna işaret ederken, saldırılar sırasında kendi araçlarını kullanarak sadece grup, operatörler veya iştirakler için geliştiriciler olup olmadıkları hala belirsizdir.
Black Basta'nın TTP'leri hakkında daha fazla bilgi edinmek isteyenler için araştırmacı Max Malyutin, Pazartesi günü QBOT enfeksiyonlarının ve AV Korunma'nın grubun fidye yazılımlarının nihai konuşlandırılmasıyla nasıl bağlantılı olduğunu ayrıntılı olarak yayınladı.
Conti, Revil, Lockbit fidye yazılımı hataları, şifrelemeyi engellemek için sömürüldü
Lockbit Fidye Yazılımı İddiaları Kıta Otomotiv Devine Saldırı
Sahte program güncellemeleri aracılığıyla dağıtılan yeni Washlocker fidye yazılımı
30 büyük ABD firmasına fidye yazılımı dağıtmaktan engellenen Evil Corp
Düzinelerce ABD haber sitesi, WastedLocker Ransomware saldırılarında hacklendi
Kaynak: Bleeping Computer