Blog

Nuevas evidencias vinculan a la banda «Black Basta Ransomware» con el grupo APT ruso FIN7

Los investigadores de ciberseguridad de la empresa Sentinel Labs han descubierto nuevas evidencias que vincula a la banda de ransomware, Black Basta, con el grupo APT bajo motivación financiera ruso, FIN7, también conocido como «Carbanak«.

Al analizar las herramientas utilizadas por la banda de ransomware en los ataques, los investigadores encontraron signos de que un desarrollador de FIN7 también ha creado las herramientas de evasión de EDR (Endpoint Detection and Response) utilizadas exclusivamente por Black Basta desde junio de 2022.

Otra evidencia que vincula a los dos incluye direcciones IP y TTP específicos (tácticas, técnicas y procedimientos) utilizados por FIN7 a principios de 2022 y vistos meses después en ataques reales de Black Basta.

Contexto: FIN7 es un grupo de cibercriminales de habla rusa motivado financieramente que ha estado activo desde al menos 2015, implementando malware y lanzando ataques dirigidos de spear-phishing contra cientos de empresas, principalmente en los Estados Unidos.

En 2020, el grupo comenzó a explorar el espacio de ransomware, y en octubre de 2021, se reveló que había establecido su propia operación de intrusión de red.

En un informe de Mandiant de 2022, explicó que FIN7 estaba trabajando con varias bandas de ransomware, incluidas Maze, Ryuk, Darkside y BlackCat/ALPHV, aparentemente llevando a cabo el vector de compromiso inicial.

Black Basta es un grupo de ransomware que lleva operando desde abril de 2022, que muestra signos de experiencia previa al anunciar inmediatamente múltiples víctimas de alto perfil y convencer a muchos analistas de que era un cambio de marca de Conti, o al menos dentro de sus filas tendrían a ex-miembros de Conti.

La nueva operación de ransomware ha mantenido un perfil cerrado, no promocionándose como un ransomware como servicio o reclutando afiliados, lo que indica que puede ser un grupo criminal de bien privado.

A partir de junio de 2022 en adelante, se observó que Black Basta implementaba una herramienta de evasión de EDR personalizada utilizada exclusivamente por sus miembros.

Al profundizar en esta herramienta, Sentinel Labs encontró un ejecutable, «WindefCheck.exe«, que muestra una GUI de seguridad de Windows falsa y un icono de bandeja que da a los usuarios la ilusión de que Windows Defender funciona normalmente.

En segundo plano, sin embargo, el malware deshabilita Windows Defender, EDR y herramientas antivirus, asegurando que nada ponga en peligro el proceso de exfiltración y cifrado de datos.

Esta herramienta se ilustra a continuación, donde la imagen de arriba se muestra la pantalla falsa de seguridad de Windows, con varias configuraciones de seguridad que parecen estar habilitadas y protegiendo el dispositivo.

Sin embargo, la pantalla de abajo muestra el estado real de esta configuración de seguridad que se está deshabilitando.

Imagen: Sentinel LABS

Los analistas recuperaron más muestras vinculadas a esa herramienta y encontraron una llena de un empaquetador desconocido, que fue identificado como «SocksBot«, un backdoor que FIN 7 ha estado usando y desarrollando desde al menos 2018.

Además, el backdoor se conecta a una dirección IP C2 que pertenece a «pq.hosting«, un proveedor de alojamiento a prueba de balas en el que FIN7 confía y utiliza regularmente.

Contexto: Un servidor a prueba de balas es un servidor que sin importar para que se esté utilizando, el proveedor no dará de baja el servicio o realizará una denuncia correspondiente a las autoridades del orden y seguridad. Dando rienda suelta a los actores de amenazas el no tener que cambiar de servidores.

La evidencia adicional de una conexión entre FIN7 y Black Basta se refiere a la experimentación de FIN7 a principios de 2022, con los marcos Cobalt Strike y Meterpreter C2 en ataques simulados de lanzamiento de malware.

Imagen: Sentinel LABS

Si bien estas similitudes técnicas apuntan a que los miembros de FIN7, son parte de la operación de Black Basta, aún no está claro si son solo desarrolladores del grupo, operadores o afiliados que usan sus propias herramientas durante los ataques. Solo es cuestión de tiempo hasta que todas las piezas encajen.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required