Se han encontrado evidencias para relacionar al conocido ransomware Black Basta con los ciberdelincuentes rusos FIN7 (también conocido como Carbanak).
De parte de SentinelLab, han realizado diferentes análisis a varias de las herramientas personalizadas utilizadas por este grupo de ciberdelincuentes que podrían enlazarlos, indicando que podrían trabajar juntos o compartir integrantes.
El ransomware Black Basta apareció en abril de 2022 aproximadamente y rápidamente comenzaron a hacerse nombre y realizar multitud de ataques exitosos contra diferentes compañías, lo que nos deja claro lo organizados que pueden llegar a estar.
En el informe completo de SentinelLabs podemos ver un análisis en profundidad de este grupo, así como sus herramientas, las cuales nos podrían indicar que fueron desarrolladas por uno o varios integrantes de FIN7.
En los puntos de aquí en adelante veremos un breve resumen de cómo los investigadores han podido dividir los diferentes puntos del ataque.
Acceso inicial
Por norma general, se ha podido ver que el ataque comenzaba a través de correo electrónico, junto a un documento de Microsoft Office con macros maliciosas, así como la explotación de la vulnerabilidad «follina» (CVE-2022-30190) las cuales darían paso al troyano Qakbot.
Este vector inicial es un «dropper» .iso que explota un secuestro de DLL sobre el proceso calc.exe. Una vez que el usuario accede al acceso directo dentro del «dropper», corre el siguiente comando secuestrando la DLL dentro de calc y ejecutando la de Qakbot, WindowsCodecs.dll.
cmd.exe /q /c calc.exe
Qakbot implementa un sistema de persistencia mediante una tarea programada que hace referencia a un PowerShell malicioso en el registro, el cual mantiene comunicación con diferentes servidores.
Cómo opera Black Basta
Una vez Black Basta se conecta a la víctima a través de Qakbot empezaría el proceso de enumeración. La tarea de almacenamiento guardaría las evidencias en un directorio aparentemente «legítimo», como puede ser «C:\Dell» o «C:\Intel».
El primer paso consiste en ejecutar una versión ofuscada de la herramienta AdFind llamada AF.exe.
Esta fase también implica el uso de dos .NET personalizados y cargados en memoria que recopilan información. No están ofuscados y los principales nombres son «Processess» y «GetOnlineComputers», que nos dan una rápida visión de lo que extraen. También se ha detectado que los operadores de Black Basta utilizan las herramientas de enumeración de AD más conocidas, como «Sharphound» y «Bloodhound«.
Para enumerar la red, utiliza un escáner de red llamado netscan.exe y además, a través del servicio WMI enumeran las posibles soluciones de seguridad existentes.
Escalada de privilegios
Además de todo lo anterior, Black Basta intenta explotar diferentes CVE conocidos para escalar privilegios en la máquina local o en el dominio. Se ha visto intentar abusar de:
- ZeroLogon (CVE-2020-1472)
- NoPac (CVE-2021-42287, CVE-2021-42278)
- PrintNightmare (CVE-2021-34527)
Para el exploit ZeroLogon utilizan dos tipos de ataques, con un ejecutable ofuscado (zero22.exe) y otro sin ofuscar (zero.exe). En uno de los casos analizados, se ha podido observar la explotación de PrintNightmare soltando un payload llamado «spider.dll«. La DLL que «dropea» este ataque trata de crear un usuario administrador con el nombre «Crackenn» y la contraseña «*aaa111Cracke«.
RAT (Remote Administration Tool)
Los ciberdelincuentes, en este punto, dejan caer un archivo autoextraíble que contiene todos los archivos necesarios para correr la aplicación «Netsupport Manager«, almacenado en la carpeta C:\temp con el nombre Svvhost.exe.
La ejecución de este archivo extrae todos los archivos de instalación en «C:\Users[USER]\AppData\Roaming\MSN\» y ejecuta el script en Batch «run.bat«, el cual ejecuta el RAT.
Eliminar las defensas
Con el fin de afectar las defensas antes de desplegar el payload de cifrado, ejecutan diferentes scripts y comandos para deshabilitar los diferentes sistemas de seguridad.
Para deshabilitar Windows Defender utilizan:
\Windows\ILUg69ql1.bat
\Windows\ILUg69ql2.bat
\Windows\ILUg69ql3.bat
Con el siguiente contenido:
Finalmente, la conexión entre Black Basta y FIN7
En múltiples incidentes de Black Basta, los ciberdelincuentes hicieron uso de una herramienta para eliminar la seguridad personalizada. Esta herramienta se utilizó en incidentes después de que Black Basta apareciese, por lo que es muy probable que pertenezca a este grupo.
Indican desde la investigación de SentinelLab que todo esto les llevó a otra herramienta personalizada «WindefCheck.exe«, empaquetado con UPX que si lo desempaquetamos muestra un binario compilado en Visual Basic el cual simplemente mostraría una interfaz gráfica, clonando a la de seguridad de Windows, la cual mostrará que todos los sistemas están protegidos (cuando esto no es real al estar los sistemas deshabilitados).
El análisis de esta herramienta les llevó a obtener más muestras empaquetadas con un empaquetador desconocido e identificando una de ellas cómo el backdoor BIRDDOG (también conocido como SocksBot) y conectándose a un servidor C2 en la dirección IP 45[.]67[.]229[.]148
. Este backdoor ha sido utilizado en múltiples ocasiones por el grupo FIN7.
Además, se observa que la dirección IP antes descrita está alojada en «pq.hosting», el proveedor de hostingelegido por FIN7.
A raíz de este descubrimiento se descubrieron otras muestras, las cuales después de desempaquetarlas se conectaban al dominio «jardinoks.com«.
Evalúan que es probable que el ciberdelincuente que desarrolla herramientas utilizadas por Black Basta sea el mismo con acceso al código fuente del empaquetador desconocido utilizado en las operaciones de FIN7, estableciendo así una conexión entre Black Basta y FIN7.