Rançongiciel Basta Noir

Une nouvelle analyse des outils utilisés par l’opération de rançongiciel Black Basta a identifié des liens entre l’acteur de la menace et le groupe FIN7 (alias Carbanak).

Ce lien « pourrait suggérer soit que Black Basta et FIN7 entretiennent une relation privilégiée, soit qu’un ou plusieurs individus appartiennent aux deux groupes », indique la société de cybersécurité SentinelOne. a dit dans un article technique partagé avec The Hacker News.

Black Basta, qui a émergé plus tôt cette année, a été attribué à une vague de rançongiciels qui a fait plus de 90 victimes en septembre 2022, ce qui suggère que l’adversaire est à la fois bien organisé et doté de ressources suffisantes.

Un aspect notable qui distingue le groupe, selon SentinelOne, est le fait qu’il n’y a eu aucun signe que ses opérateurs tentent de recruter des affiliés ou de faire la publicité du malware en tant que RaaS sur les forums darknet ou les marchés des logiciels criminels.

Cela a soulevé la possibilité que les développeurs de Black Basta suppriment les affiliés de la chaîne et déploient le ransomware via leur propre ensemble d’outils personnalisés ou travaillent alternativement avec un ensemble proche d’affiliés sans avoir besoin de commercialiser leur warez.

Publicité

Les chaînes d’attaque impliquant Black Basta sont connues pour tirer parti de QBot (alias Qakbot), qui, à son tour, est livré au moyen d’e-mails de phishing contenant des documents Microsoft Office basés sur des macros, avec de nouvelles infections tirant parti des images ISO et des droppers LNK pour contourner Microsoft. décision de bloquer par défaut les macros dans les fichiers téléchargés sur le Web.

Une fois que Qakbot a pris pied de manière persistante dans l’environnement cible, l’opérateur de Black Basta entre en scène pour effectuer une reconnaissance en se connectant à la victime par la porte dérobée, puis en exploitant les vulnérabilités connues (par exemple, ZeroLogon, PrintNightmare et NoPac) pour augmenter les privilèges.

Sont également utilisées à ce stade des portes dérobées telles que SystemBC (alias Coroxy) pour l’exfiltration de données et le téléchargement de modules malveillants supplémentaires, avant de procéder à un mouvement latéral et de prendre des mesures pour nuire aux défenses en désactivant les solutions de sécurité installées.

Cod

Cela inclut également un outil d’évasion EDR personnalisé qui a été exclusivement utilisé dans les incidents de Black Basta et est intégré à une porte dérobée appelée BIRDDOG, également appelée ChaussettesBot et qui a été utilisé dans plusieurs attaques précédemment attribuées au groupe FIN7.

Le syndicat de la cybercriminalité FIN7, actif depuis 2012, a fait ses preuves dans le montage de campagnes de logiciels malveillants à grande échelle ciblant les systèmes de points de vente (PoS) destinés aux secteurs de la restauration, des jeux de hasard et de l’hôtellerie pour fraude financière.

La Cyber-Sécurité

Au cours des deux dernières années, cependant, le groupe est passé aux ransomwares pour générer des revenus illicites, d’abord en tant que Darkside, puis en tant que BlackMatter et BlackCat, sans parler de la création de fausses sociétés écrans pour recruter des testeurs d’intrusion involontaires pour organiser des attaques de ransomwares.

« À ce stade, il est probable que FIN7 ou une filiale ait commencé à écrire des outils à partir de zéro afin de dissocier leurs nouvelles opérations des anciennes », ont déclaré les chercheurs Antonio Cocomazzi et Antonio Pirozzi. « Il est probable que le ou les développeurs derrière leurs outils pour nuire aux défenses des victimes soient, ou aient été, un développeur pour FIN7. »

Les résultats surviennent des semaines après que l’acteur de Black Basta a été observé en train d’utiliser le cheval de Troie Qakbot pour déployer les frameworks Cobalt Strike et Brute Ratel C4 en tant que charge utile de deuxième étape lors d’attaques récentes.

« L’écosystème des logiciels criminels ne cesse de s’étendre, de changer et d’évoluer », ont conclu les chercheurs. « FIN7 (ou Carbanak) est souvent crédité d’innover dans l’espace criminel, portant les attaques contre les banques et les systèmes PoS à de nouveaux sommets au-delà des stratagèmes de leurs pairs. »

La divulgation arrive également en tant que réseau américain de lutte contre la criminalité financière (FinCEN) signalé une augmentation des attaques de ransomwares ciblant des entités nationales de 487 en 2020 à 1 489 en 2021, entraînant un coût total de 1,2 milliard de dollars, un bond de 188 % par rapport aux 416 millions de dollars de l’année précédente.


Rate this post
Publicité
Article précédentLes États-Unis autorisent certains Américains à continuer à travailler pour des entreprises chinoises de semi-conducteurs
Article suivantLe jeu ‘Superior’ bientôt disponible sur Steam
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici