Para ahli menghubungkan operasi ransomware Black Basta dengan geng kejahatan dunia maya FIN7

idNSA.id - Peneliti keamanan di Sentinel Labs berbagi rincian tentang TTP Black Basta dan menilai kemungkinan besar operasi ransomware memiliki hubungan dengan FIN7.

Para ahli menganalisis alat yang digunakan oleh geng ransomware dalam serangan, beberapa di antaranya adalah alat khusus, termasuk alat penghindaran EDR. SentinelLabs percaya bahwa pengembang alat penghindaran EDR ini adalah, atau pernah, adalah pengembang untuk geng FIN7.

Bukti lebih lanjut yang menghubungkan keduanya termasuk alamat IP dan TTP spesifik (taktik, teknik, dan prosedur) yang digunakan oleh FIN7 pada awal 2022 dan terlihat beberapa bulan kemudian dalam serangan Black Basta yang sebenarnya.

Black Basta telah aktif sejak April 2022, seperti operasi ransomware lainnya, menerapkan model serangan pemerasan ganda. 

Di sisi lain, FIN7 adalah grup bermotivasi finansial Rusia yang telah aktif setidaknya sejak 2015. Ini berfokus pada penyebaran malware POS dan meluncurkan serangan spear-phishing yang ditargetkan terhadap organisasi di seluruh dunia.

Analisis Sentinel Labs mengungkapkan bahwa operator ransomware Black Basta mengembangkan dan memelihara toolkit mereka sendiri, mereka hanya mendokumentasikan kolaborasi dengan kumpulan afiliasi terbatas dan tepercaya.

“SentinelLabs mulai melacak operasi Black Basta pada awal Juni setelah melihat tumpang tindih antara kasus yang tampaknya berbeda. Bersama dengan peneliti lain, kami mencatat bahwa infeksi Black Basta dimulai dengan Qakbot yang dikirimkan melalui email dan dokumen MS Office berbasis makro, dropper ISO+LNK, dan dokumen .docx yang mengeksploitasi kerentanan eksekusi kode jarak jauh MSDTC, CVE-2022-30190.” membaca laporan yang diterbitkan oleh para ahli. “Salah satu vektor akses awal yang menarik yang kami amati adalah penetes ISO yang dikirimkan sebagai “Laporkan 14 Juli 39337.iso” yang mengeksploitasi pembajakan DLL di calc.exe.”

Laporan tersebut merinci aktivitas akses awal Black Basta, pengintaian manual, gerakan lateral, teknik eskalasi hak istimewa, dan alat admin jarak jauh.

Untuk melemahkan pertahanan keamanan yang diinstal pada mesin target, Black Basta menargetkan solusi keamanan yang diinstal dengan skrip batch tertentu yang diunduh ke direktori Windows.

Pelaku ancaman menonaktifkan Windows Defender yang menjalankan skrip berikut:

\Windows\ILUg69ql1.bat

\Windows\ILUg69ql2.bat

\Windows\ILUg69ql3.bat

Penyerang juga menggunakan konvensi penamaan yang sama (ILUg69ql diikuti dengan angka) untuk skrip batch yang ditemukan dalam intrusi yang berbeda.

powershell -ExecutionPolicy Bypass -perintah "New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' -Nama DisableAntiSpyware -Nilai 1 -PropertyType DWORD -Force"

powershell -ExecutionPolicy Bypass -perintah "Set-MpPreference -DisableRealtimeMonitoring 1"

powershell -ExecutionPolicy Bypass Uninstall-WindowsFeature -Name Windows-Defende

Parameter DisableAntiSpyware memungkinkan penonaktifan Windows Defender Antivirus untuk menyebarkan solusi keamanan lain. DisableRealtimeMonitoring digunakan untuk menonaktifkan perlindungan waktu nyata dan kemudian Uninstall-WindowsFeature -Name Windows-Defender untuk menghapus Windows Defender.

Para ahli memperhatikan bahwa mulai Juni 2022, operator Black Basta menerapkan tool penghindaran EDR khusus yang sebelumnya tidak terdokumentasi.

Para peneliti menemukan tool khusus, WindefCheck.exe, yang merupakan executable yang dikemas dengan UPX. Sampelnya adalah biner yang dikompilasi dengan Visual Basic yang menampilkan GUI Keamanan Windows palsu dan ikon baki dengan status sistem "health", bahkan jika Windows Defender dan fungsionalitas sistem lainnya dinonaktifkan.

Di latar belakang, malware menonaktifkan Windows Defender, EDR, dan alat antivirus sebelum menjatuhkan muatan ransomware.

Para peneliti menemukan beberapa sampel yang terkait dengan alat di atas dan menemukan satu yang dikemas dengan pengepak yang tidak diketahui, yang diidentifikasi sebagai 'SocksBot . (alias BIRDDOG)' Ini adalah backdoor yang digunakan oleh grup FIN7 setidaknya sejak 2018, juga terhubung ke alamat IP C2 45[.]67[.]229[.]148 milik “pq.hosting,” penyedia hosting antipeluru yang digunakan oleh FIN7 dalam operasinya.

“Kami menilai sangat mungkin operasi ransomware BlackBasta memiliki hubungan dengan FIN7. Selain itu, kami menilai kemungkinan developer di balik tool mereka untuk merusak pertahanan korban adalah developer untuk FIN7.” menyimpulkan laporan. “Saat kami mengklarifikasi tangan di balik operasi ransomware Black Basta yang sulit dipahami, kami tidak terkejut melihat wajah yang familiar di balik operasi tertutup yang ambisius ini. Meskipun ada banyak wajah baru dan beragam ancaman di ransomware dan ruang pemerasan ganda, kami berharap untuk melihat kelompok kriminal profesional yang ada menempatkan putaran mereka sendiri untuk memaksimalkan keuntungan ilegal dengan cara baru.”