Forscher entdecken ähnliche Tools zwischen FIN7 und Black Basta Ransomware

Laut den Sicherheitsforschern von SentinelOne teilt die relativ neue Ransomware-Gang namens Black Basta Tools und möglicherweise auch Personal mit der berüchtigten Hackergruppe FIN7.

Die Forscher konnten ein Tool aufdecken, das von den Betreibern der Ransomware Black Basta verwendet wurde, um die Erkennungs- und Reaktionssysteme von Endgeräten zu umgehen.

Die von Black Basta eingesetzte Malware wird ausschließlich von der Gruppe verwendet, und derselbe Entwickler erstellt auch ein benutzerdefiniertes Tool, mit dem die grafische Benutzeroberfläche von Windows Defender manipuliert werden kann, damit die Opfer nicht merken, dass sie von den Hackern deaktiviert wurde.

Eine der untersuchten Schadprogramme war mit einer Backdoor namens BIRDDOG ausgestattet. BIRDDOG wurde in der Vergangenheit bei mehreren FIN7-Operationen verwendet, um einen Command-and-Control-Server zu signalisieren, der dieselben kugelsicheren Hosting-Dienste nutzt, die auch von FIN7 eingesetzt werden.

Die Forscher entdeckten zwar, dass die in öffentlichen Malware-Repositories gefundenen Code-Beispiele denselben Packer verwenden, der zwei Monate vor dem Auftauchen von BIRDDOG entwickelt wurde, kamen aber zu dem Schluss, dass der zur Komprimierung von BIRDDOG verwendete Packer eine aktualisierte Version ist.

"Wir halten es für wahrscheinlich, dass der Bedrohungsakteur, der das von Black Basta verwendete Beeinträchtigungswerkzeug entwickelt hat, derselbe Akteur ist, der Zugang zum Packer-Quellcode hat, der bei den Operationen von FIN7 verwendet wird, wodurch zum ersten Mal eine mögliche Verbindung zwischen den beiden Gruppen hergestellt wird. Zum jetzigen Zeitpunkt ist es wahrscheinlich, dass FIN7 oder ein verbundenes Unternehmen damit begonnen hat, Tools von Grund auf neu zu schreiben, um ihre neuen Operationen von den alten zu trennen. Aufgrund unserer Analyse glauben wir, dass das oben beschriebene benutzerdefinierte Beeinträchtigungswerkzeug ein solches Werkzeug ist", schreiben die SentinelOne-Forscher Antonio Cocomazzi und Antonio Pirozzi.

FIN7 ist eine cyberkriminelle Gruppe, die angeblich vom russischen Territorium aus operiert und mit den Ransomware-Programmen BlackMatter und Darkside in Verbindung gebracht wird. Es wird angenommen, dass die FIN7-Gruppe im Jahr 2013 gegründet wurde, wobei die Ransomware sporadisch im Jahr 2020 in Betrieb genommen wurde. Die Angreifer verwenden mehrere Malware-Familien wie CARBANAK, BIRDDOG, GRIFFON und DICELOADER. Sobald eine Hintertür erlangt wurde, kann die Gruppe weiter in das System eindringen, wobei eine durchschnittliche Verweildauer von sechs bis acht Monaten besteht, bevor eine Ransomware schließlich eingesetzt wird.

Die Quelle für diesen Beitrag ist ein Artikel im SCMagazine.

Sehen Sie sich diese Neuigkeiten auf unserem Youtube-Kanal an: https://bit.ly/3UCSY3n

Zusammenfassung

Artikel Name

Forscher entdecken ähnliche Tools zwischen FIN7 und Black Basta Ransomware

Beschreibung

Eine relativ neue Ransomware-Gang namens Black Basta teilt sich die Werkzeuge und möglicherweise auch das Personal mit der berüchtigten Hackergruppe FIN7.

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers