Una nuova analisi degli strumenti utilizzati dall’operazione ransomware Black Basta ha individuato legami tra l’attore della minaccia e il gruppo FIN7 (alias Carbanak). Al gruppo, emerso all’inizio di quest’anno, è stato attribuito a un’ondata di ransomware che ha colpito oltre 90 organizzazioni a partire dal settembre 2022, il che suggerisce che l’avversario è sia ben organizzato che dotato di buone risorse. Un aspetto degno di nota che contraddistingue il gruppo, secondo SentinelOne, è il fatto che non ci sono stati segni di tentativi da parte dei suoi operatori di reclutare affiliati o di pubblicizzare il malware come RaaS su forum darknet o mercati di crimeware. Ciò ha sollevato la possibilità che gli sviluppatori di Black Basta abbiano tagliato fuori gli affiliati dalla catena e abbiano distribuito il ransomware attraverso il proprio set di strumenti personalizzati o, in alternativa, abbiano lavorato con un gruppo ristretto di affiliati senza la necessità di commercializzare il loro warez.
Le catene di attacco che coinvolgono Black Basta sono note per sfruttare QBot (alias Qakbot), che a sua volta viene distribuito tramite e-mail di phishing contenenti documenti di Microsoft Office basati su macro, con infezioni più recenti che sfruttano immagini ISO e dropper LNK per aggirare la decisione di Microsoft di bloccare le macro nei file scaricati dal web per impostazione predefinita. Una volta che Qakbot ottiene un punto d’appoggio persistente nell’ambiente di destinazione, l’operatore Black Basta entra in scena per condurre una ricognizione collegandosi alla vittima attraverso la backdoor, quindi sfruttando vulnerabilità note (ad esempio, ZeroLogon, PrintNightmare e NoPac) per aumentare i privilegi. In questa fase vengono utilizzate anche backdoor come SystemBC (alias Coroxy) per l’esfiltrazione dei dati e il download di moduli dannosi aggiuntivi, prima di effettuare spostamenti laterali e prendere provvedimenti per compromettere le difese disabilitando le soluzioni di sicurezza installate. Questo include anche uno strumento di evasione EDR personalizzato che è stato utilizzato esclusivamente negli incidenti di Black Basta ed è integrato con una backdoor denominata BIRDDOG, chiamata anche SocksBot e che è stata utilizzata in diversi attacchi precedentemente attribuiti al gruppo FIN7.
Il gruppo di criminali informatici FIN7, attivo dal 2012, ha un curriculum di campagne di malware su larga scala che prendono di mira i sistemi point-of-sale (PoS) destinati ai settori della ristorazione, del gioco d’azzardo e dell’ospitalità per frodi finanziarie. Negli ultimi due anni, tuttavia, il gruppo è passato al ransomware per generare entrate illecite, prima come Darkside e poi come BlackMatter e BlackCat, per non parlare della creazione di false società di facciata per reclutare inconsapevoli penetration tester per organizzare attacchi ransomware. “A questo punto, è probabile che FIN7 o un affiliato abbiano iniziato a scrivere strumenti da zero per dissociare le loro nuove operazioni dalle vecchie”, hanno dichiarato i ricercatori Antonio Cocomazzi e Antonio Pirozzi. “È probabile che lo sviluppatore (o gli sviluppatori) dietro i loro strumenti per compromettere le difese delle vittime sia, o sia stato, uno sviluppatore della FIN7”. Le scoperte arrivano settimane dopo che l’attore Black Basta è stato osservato utilizzare il trojan Qakbot per distribuire i framework Cobalt Strike e Brute Ratel C4 come payload di secondo livello in recenti attacchi. “L’ecosistema del crimeware è in costante espansione, cambiamento ed evoluzione”, concludono i ricercatori. “FIN7 (o Carbanak) è spesso accreditato per aver innovato lo spazio criminale, portando gli attacchi contro le banche e i sistemi PoS a nuovi livelli, al di là degli schemi dei loro colleghi”. La rivelazione arriva anche quando il Financial Crimes Enforcement Network (FinCEN) degli Stati Uniti ha riportato un’impennata degli attacchi ransomware rivolti a entità nazionali, che passeranno da 487 nel 2020 a 1.489 nel 2021, con un costo totale di 1,2 miliardi di dollari, con un aumento del 188% rispetto ai 416 milioni di dollari dell’anno precedente.
FIN7: una “società” da 1,5 miliardi di fatturato specializzata in attacchi APT
