研究人员发现黑Basta勒索软件和FIN7黑客的链接

对黑巴斯塔勒索软件行动使用的工具进行的一项新分析发现，这名威胁者与FIN7（又名卡巴纳克）集团之间存在联系。

网络安全公司SentinelOne在与《黑客新闻》（The Hacker News）分享的一篇技术报道中表示，这一联系“可能表明Black Basta和FIN7保持着特殊关系，或者一个或多个个人属于这两个群体”。

今年早些时候出现的“黑巴斯塔”（Black Basta）被归因于一场勒索软件狂潮，截至2022年9月，这场狂潮已导致90多个组织死亡，表明对手组织严密，资源充足。

据SentinelOne报道，该组织脱颖而出的一个值得注意的方面是，没有迹象表明其运营商试图招募附属公司或在暗网论坛或犯罪市场上以RaaS的形式宣传该恶意软件。

这增加了Black Basta开发人员从链中删除关联公司并通过自己的定制工具集部署勒索软件的可能性，或者与一组紧密的关联公司合作而无需营销他们的软件。

众所周知，涉及Black Basta的攻击链利用QBot（也称为Qakbot），而QBot又通过包含基于宏的Microsoft Office文档的钓鱼电子邮件来发送，而新的感染则利用ISO图像和LNK滴管来绕过Microsoft默认阻止从web下载的文件中的宏的决定。

一旦Qakbot在目标环境中获得了持久的立足点，Black Basta操作员就进入现场，通过后门连接受害者进行侦察，然后利用已知漏洞（例如ZeroLogon、PrintNightmare和NoPac）提升权限。

在这一阶段，还将使用诸如SystemBC（又名Coroxy）之类的后门进行数据过滤和下载其他恶意模块，然后执行横向移动，并通过禁用已安装的安全解决方案采取措施削弱防御。

这还包括一个专门用于Black Basta事件的定制EDR规避工具，该工具嵌入了一个名为BIRDOG的后门，也称为SocksBot，该工具已被用于之前归属于FIN7集团的几次攻击。

FIN7网络犯罪集团自2012年以来一直活跃，在针对餐厅、赌博和酒店业的销售点（PoS）系统进行大规模恶意软件活动以进行金融欺诈方面有着良好的记录。

然而，在过去两年里，该集团已经转而使用勒索软件来非法赚取收入，首先是作为Darkside，然后是BlackMatter和BlackCat，更不用说建立虚假的幌子公司来招募不知情的渗透测试人员来进行勒索软件攻击。

研究人员Antonio Cocomazzi和Antonio Pirozzi表示：“在这一点上，FIN7或其附属公司很可能从零开始编写工具，以将其新业务与旧业务分离”。“很可能，他们的工具背后的开发人员是或曾经是FIN7的开发人员，以削弱受害者的防御能力”。

几周前，黑巴斯塔（Black Basta）演员被观察到在最近的攻击中使用Qakbot木马部署Cobalt Strike和Brute Ratel C4框架作为第二阶段有效载荷。

研究人员总结道：“犯罪软件生态系统正在不断扩大、变化和演变”。“FIN7（或Carbanak）通常被认为是犯罪领域的创新，将针对银行和PoS系统的攻击提升到了超越同行计划的新高度”。

与此同时，美国金融犯罪执法网络（FinCEN）报告称，针对国内实体的勒索软件攻击从2020年的487起激增至2021的1489起，总成本为12亿美元，比前一年的4.16亿美元增加了188%。