Los investigadores descubren herramientas similares entre FIN7 y el ransomware Black Basta

Según los investigadores de seguridad de SentinelOne, la relativamente nueva banda de ransomware llamada Black Basta comparte herramientas y posiblemente personal con el conocido grupo de piratas informáticos FIN7.

Los investigadores descubrieron una herramienta utilizada por los operadores del ransomware Black Basta para eludir los sistemas de detección y respuesta de puntos finales.

El malware utilizado por Black Basta es de uso exclusivo del grupo y el mismo desarrollador también crea una herramienta personalizada que puede ayudarles a manipular la interfaz gráfica de usuario de Windows Defender para evitar que las víctimas sepan que ha sido desactivado por los hackers.

Uno de los programas maliciosos investigados estaba equipado con una puerta trasera llamada BIRDDOG. BIRDDOG se ha utilizado en varias operaciones anteriores de FIN7 para señalar un servidor de mando y control que utilizaba los mismos servicios de alojamiento a prueba de balas desplegados por FIN7.

Aunque los investigadores descubrieron que las muestras de código encontradas en repositorios públicos de malware utilizan el mismo empaquetador anterior a la aparición de BIRDDOG en dos meses, concluyeron que el empaquetador utilizado para comprimir BIRDDOG es una versión actualizada.

"Evaluamos que es probable que el actor de la amenaza que desarrolla la herramienta de deterioro utilizada por Black Basta sea el mismo actor con acceso al código fuente del empaquetador utilizado en las operaciones de FIN7, estableciendo así por primera vez una posible conexión entre ambos grupos. En este punto, es probable que FIN7 o un afiliado empezaran a escribir herramientas desde cero para desvincular sus nuevas operaciones de las antiguas. Basándonos en nuestro análisis, creemos que la herramienta de deterioro personalizada descrita anteriormente es una de esas herramientas", escriben los investigadores de SentinelOne Antonio Cocomazzi y Antonio Pirozzi.

FIN7 es un grupo ciberdelictivo que presuntamente opera desde territorio ruso y está asociado con los ransomware BlackMatter y Darkside. Se cree que el grupo FIN7 se fundó en 2013 y que el ransomware se puso en marcha esporádicamente en 2020. Los atacantes utilizan varias familias de malware, como CARBANAK, BIRDDOG, GRIFFON y DICELOADER. Una vez que se ha conseguido una puerta trasera, el grupo podría continuar ganando movimientos laterales dentro del sistema con un tiempo medio de permanencia de seis a ocho meses antes de que se despliegue finalmente un ransomware.

Las fuentes de este artículo son un artículo de SCMagazine.

Vea esta noticia en nuestro canal de Youtube: https://bit.ly/3UCSY3n

Resumen

Nombre del artículo

Los investigadores descubren herramientas similares entre FIN7 y el ransomware Black Basta

Descripción

Una banda de ransomware relativamente nueva llamada Black Basta comparte herramientas y posiblemente personal con el conocido grupo de piratas informáticos FIN7.

Autor

Obanla Opeyemi

Nombre del editor

TuxCare

Logotipo de la editorial