SentinelOne veröffentlicht ausführliche Analyse der neuen Black Basta Ransomware

Angriffe verwenden benutzerdefinierte EDR-Umgehungstools, die Verbindungen zum FIN7-Bedrohungsakteur aufweisen

Die Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von SentinelOne, haben einen Bericht veröffentlicht, der neue Analysen zur berüchtigten Black Basta Ransomware enthält. Black Basta tauchte erstmals im April 2022 auf und wurde bis September 2022 bei der Kompromittierung von über 90 Organisationen eingesetzt. Die Schnelligkeit und das Volumen der Angriffe beweisen, dass die Akteure hinter der Malware gut organisiert und gut ausgestattet sind. Dennoch gibt es keine Hinweise darauf, dass Black Basta versucht, Partner zu rekrutieren oder als RaaS (Ransomware as a Service) in den üblichen Darknet-Foren oder Crimeware-Marktplätzen zu werben. Dies hat zu vielen Spekulationen über den Ursprung, die Identität und die Arbeitsweise der Ransomware-Gruppe Black Basta geführt.

Die Recherchen der Forscher haben ergeben, dass die Personen, die hinter der Ransomware stehen, ihr eigenes Toolkit entwickeln und pflegen und entweder Partner ausschließen oder nur mit einer begrenzten und vertrauenswürdigen Gruppe von Partnern zusammenarbeiten. Es handelt sich also um eine ähnliche Herangehensweise wie bei anderen „privaten“ Ransomware-Gruppen wie zum Beispiel Conti, TA505 und Evilcorp.

Der vollständige Bericht enthält eine detaillierte Analyse der operativen TTPs (Tactics, Techniques & Procedures) von Black Basta, einschließlich der Verwendung mehrerer benutzerdefinierter Tools, die wahrscheinlich von einem oder mehreren FIN7 (alias Carbanak)-Entwicklern entwickelt wurden. Im Zuge der Angriffe verwenden die Bedrohungsakteure eine eindeutig verschleierte Version von ADFind und nutzen PrintNightmare, ZeroLogon und NoPac für eine Erweiterung der Privilegien aus.

Erste Zugriffsaktivitäten von Black Basta

Die Forscher begannen Anfang Juni 2022, die Aktivitäten von Black Basta zu verfolgen, nachdem sie Überschneidungen zwischen scheinbar unterschiedlichen Fällen festgestellt hatten. Zusammen mit anderen Forschern wurde festgestellt, dass Black Basta-Infektionen mit Qakbot begannen, das per E-Mail und makrobasierten MS Office-Dokumenten, ISO+LNK-Droppern und .docx-Dokumenten geliefert wurde, die die MSDTC-Schwachstelle CVE-2022-30190 zur Remotecodeausführung ausnutzen.

Die Verbindung mit der FIN7-Hackergruppe

Bei mehreren Black Basta-Vorfällen nutzten die Bedrohungsakteure ein benutzerdefiniertes Tool zur Beeinträchtigung der Verteidigung ihrer Opfer. Die Analyse ergab, dass dieses Tool bei Vorfällen ab dem 3. Juni 2022 verwendet wurde und ausschließlich bei Black Basta-Vorfällen zum Einsatz kam. Mit Blick auf die diversen Ähnlichkeiten in Code und Einsatzweise der Schadprogramme ist davon auszugehen, dass der Betreiber der von Black Basta verwendeten Malware derselbe ist, der den bei FIN7-Operationen verwendeten Packer-Quellcode zur Verfügung gestellt hat. Dies stellt erstmalig eine mögliche Verbindung zwischen den beiden Gruppen her.

Schlussfolgerung

Das Crimeware-Ökosystem verändert sich ständig und die Angriffstechniken und -tools werden von den professionellen Akteuren stetig weiterentwickelt. Hierbei wird FIN7 oft als Innovator im kriminellen Bereich angesehen, der mit seinen Angriffen auf Banken und PoS-Systeme neue Dimensionen erreicht hat, wobei die Komplexität, die der Mitstreiter übersteigt. Bei der Klärung der Frage, wer hinter der sehr komplexen Black Basta-Ransomware-Operation steckt, ist es keine Überraschung, dass es sich dabei mit großer Wahrscheinlichkeit um einen bereits bekannten Bedrohungsakteur handelt. Obwohl es viele neue Gesichter und unterschiedliche Bedrohungen im Bereich Ransomware gibt, erwarten viele Sicherheitsexperten, dass auch die bestehenden Cyberkriminellen in Zukunft immer anspruchsvollere Wege zur Optimierung ihrer Angriffstechniken und Maximierung ihrer Profite finden werden.

Den vollständigen Bericht finden Sie im aktuellen Blogpost von SentinelLabs: https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/