Les chercheurs découvrent des outils similaires entre FIN7 et le ransomware Black Basta.
Selon les chercheurs en sécurité de SentinelOne, le gang de ransomware relativement nouveau appelé Black Basta partage des outils et peut-être du personnel avec le célèbre groupe de pirates FIN7.
Les chercheurs ont pu découvrir un outil utilisé par les opérateurs du ransomware Black Basta pour contourner les systèmes de détection et de réponse des terminaux.
Le malware utilisé par Black Basta est utilisé exclusivement par le groupe et le même développeur crée également un outil personnalisé qui peut les aider à manipuler l'interface utilisateur graphique de Windows Defender pour empêcher les victimes de savoir qu'il a été désactivé par les pirates.
L'un des logiciels malveillants examinés était équipé d'une porte dérobée appelée BIRDDOG. BIRDDOG a été utilisé dans plusieurs opérations antérieures de FIN7 pour signaler un serveur de commande et de contrôle utilisant les mêmes services d'hébergement à l'épreuve des balles déployés par FIN7.
Les chercheurs ont découvert que les échantillons de code trouvés sur les dépôts publics de logiciels malveillants utilisent le même packer avant l'émergence de BIRDDOG de deux mois, mais ils ont conclu que le packer utilisé pour compresser BIRDDOG est une version mise à jour.
"Nous estimons qu'il est probable que l'acteur menaçant qui développe l'outil de dépréciation utilisé par Black Basta soit le même acteur ayant accès au code source du packer utilisé dans les opérations de FIN7, établissant ainsi pour la première fois une connexion possible entre les deux groupes. À ce stade, il est probable que FIN7 ou une société affiliée a commencé à écrire des outils à partir de zéro afin de dissocier ses nouvelles opérations des anciennes. Sur la base de notre analyse, nous pensons que l'outil de dépréciation personnalisé décrit ci-dessus est l'un de ces outils", écrivent les chercheurs de SentinelOne Antonio Cocomazzi et Antonio Pirozzi.
FIN7 est un groupe cybercriminel qui opérerait depuis le territoire russe et qui est associé aux ransomwares BlackMatter et Darkside. Le groupe FIN7 aurait été fondé en 2013, les ransomwares étant sporadiquement mis en service en 2020. Les attaquants utilisent plusieurs familles de malwares telles que CARBANAK, BIRDDOG, GRIFFON et DICELOADER. Une fois qu'une porte dérobée a été obtenue, le groupe pourrait continuer à gagner des mouvements latéraux dans le système avec un temps de séjour moyen de six à huit mois avant qu'un ransomware soit finalement déployé.
Les sources de cette pièce incident un article dans SCMagazine.
Découvrez cette nouvelle sur notre chaîne Youtube : https://bit.ly/3UCSY3n