产品展示
研究人员发现 FIN7 与 Black Basta 勒索软件组之间的工具链联系 媒体
研究人员发现 FIN7 与 Black Basta 勒索软件组之间的工具链联系 媒体
新兴勒索软件服务组的威胁
关键要点
新兴的勒索软件服务组Black Basta可能与有名的FIN7黑客集团共享工具和人员。最近的研究显示,Black Basta在短时间内牵涉到多起高调的勒索事件,主要针对能源、农业、制造、公共事业和政府部门的大型企业。SentinelOne发现Black Basta使用的某些独特工具,表明他们可能与一个更大的黑客组织有关。他们的恶意软件能够绕过端点检测与响应系统,并特制有用于操控Windows安全界面的工具。随着勒索软件服务RaaS的威胁持续增加,一个新兴的勒索软件服务组织再度引发关注。根据SentinelOne最新发布的研究,Black Basta这一组织在过去一年中,已对各行各业和关键基础设施部门造成了严重影响。这一组织与恶名昭彰的FIN7黑客集团有共同之处,可能在工具和人员方面有所关联。
Black Basta自成立以来,虽然时间不长,但已与多起高调勒索事件相关联,目标主要集中在能源、农业、制造、公共事业和政府等大型企业。根据Palo Alto Networks的分析,Black Basta的运作模式显示,他们专注于大企业的攻击。
奇怪的是,尽管他们自称为勒索软件服务组织,但几乎没有证据表明Black Basta在招募合作伙伴或在暗网论坛上进行广告宣传。尽管这种情况并非前所未见,但有关他们独特工具集的技术分析表明,他们可能与更大的黑客组织存在关联。
SentinelOne的研究发现,Black Basta的操作员使用一种工具来逃避端点检测与响应系统。第一次发现该恶意软件是在6月3日,研究表明这款恶意软件似乎是该组织专用的。其开发者还创作了一款用于操控Windows Defender图形用户界面的自定义工具,以防止受害者意识到其已被攻击者禁用。
伪造的Windows安全界面工具‘WindefCheckexe’ (资料来源 SentinelOne)
其中一个样本包含一个后门程序BIRDDOG,曾在多个FIN7的行动中使用,并通过与FIN7相同的弹性托管服务与一个指挥与控制服务器建立联系。在公共恶意软件仓库中找到的代码样本表明,该打包程序早在BIRDDOG创建之前两个月就已存在,并揭示出一个Cobalt Strike DNS信标。经过进一步分析,研究人员得出结论,压缩BIRDDOG所用的打包程序是一个更新版本。
SentinelOne的研究人员Antonio Cocomazzi和Antonio Pirozzi表示:“我们评估认为,开发Black Basta所用的损害工具的威胁行为者可能与FIN7行动中使用的打包程序源代码的同一行为者,从而首次建立了这两个组织之间的可能联系。”
FIN7是全球最活跃、最具创新性的网络犯罪组织之一,一家网络安全公司估计,其信用卡欺诈计划独自已经带来超过10亿美元的收益。自2020年以来,该组织稳步转型,从针对金融业的销售点恶意软件转向更广泛的勒索软件操作,以充实其资金。他们之前已被情报机构如Mandiant与DarkSide的活动关联起来,后者是美国官员指责在2021年Colonial Pipeline攻击中负责的组织。
Cocomazzi和Pirozzi指出:“此时,FIN7或其合作伙伴很可能开始从零编写工具,以使其新行动与旧行动分开。根据我们的分析,我们认为上述自定义损害工具就是其中之一。”
这种情况再一次强调了网络安全的重要性,并提醒各行业在面对日益复杂的网络威胁时,需保持警惕并采取有效的防护措施。
蚂蚁免费加速器
蚂蚁加速器官方网站畅享全球连接,无需等待,即刻体验极速便捷的网络访问,无缝穿越地域限制,实现一键高速连接,打破网络疆界。
交流蚂蚁免费加速器
-
- 地址
- 宁德市脆检星海353号
-
- 电话
-
- 工作时间
- 周一至周五:上午 10 点至晚上 8 点