ប្រតិបត្តិការមេរោគ Black Basta បានប្រើវិធីថ្មី គឺចងភ្ជាប់ក្រុមគំរាមកំហែង និងក្រុម FIN7 (aka Carbanak)។ ក្រុមហ៊ុនសុវត្ថិភាពសាយប័រ SentinelOne បានរៀបរាប់ប្រាប់ The Hacker News ថាៈ ទំនាក់ទំនងនេះអាចស្នើសុំបានទាំង Black Basta និង FIN7 ឬក៏នរណាម្នាក់នៅក្នុងក្រុមនេះ។ Black Basta កើតនៅដើមឆ្នាំនេះ បានចែកចាយមេរោគ ransomware ទៅកាន់ស្ថាប័នជាង ៩០ នៅខែកញ្ញា ឆ្នាំ២០២២ មានទាំងការរៀបចំ និងធនធាន។ រីឯ SentinelOne វិញពុំមានសញ្ញាអ្វីក្រៅពីរើសក្រុម ឬផ្សព្វផ្សាយមេរោគ malware ដូចជា RaaS នៅលើ darknet forums ឬ ទីផ្សារងងឹត។ នេះមានន័យថា Black Basta បានអភិវឌ្ឍខ្លួន ក៏ដូចជាផ្តាច់ខ្លួនចេញពីក្រុម និងពង្រាយមេរោគ ransomware តាមរយៈឧបករណ៍ផ្ទាល់ខ្លួន ឬធ្វើការជាមួយក្រុមជិតស្និទ្ធវិញ។
Black Basta ត្រូវបានគេស្គាល់ថាជា QBot (aka Qakbot) ប្រើមធ្យោបាយ phishing emails មានផ្ទុកឯកសារ macro-based Microsoft Office នាពេលថ្មីៗនេះ មានការចម្លងមេរោគដែលទាញយកអត្ថប្រយោជន៍ពី ISO images និង LNK droppers នៅជុំវិញការសម្រេចចិត្តបិទម៉ាក្រូ (block macros ) នៅក្នុងឯកសារដោនឡូតរបស់ Microsoft ចេញពីគេហទំព័រដោយ default ។ ខណៈដែល Qakbot អាចឈរជើងបាន Black Basta ចូលមកស៊ើបអង្កេត ដោយភ្ជាប់ទំនាក់ទំនង ទៅកាន់ជនរងគ្រោះតាមរយៈទ្វារក្រោយ (ZeroLogon, PrintNightmare និង NoPac) ដែលជាកំហុសនៅក្នុងការបង្កើនសិទ្ធិ។ ទ្វារក្រោយមានដូចជា SystemBC (aka Coroxy) លួចទិន្នន័យ និងដោនឡូត modules អាក្រក់ៗបន្ថែមទៀត មុនពេលធ្វើឱ្យខូចមុខងារការពារ ដោយការបិទដំណោះស្រាយសុវត្ថិភាពដែលបានដំឡើង។
នេះរួមមានឧបករណ៍ឈ្លានពាន EDR ដែលបានដាក់ឱ្យប្រើនៅក្នុង Black Basta និងបង្កប់ទ្វារក្រោយ BIRDDOG ឬ SocksBot និងប្រើនៅក្នុងការវាយប្រហារច្រើនសារនៅក្នុងក្រុម FIN7។ ក្រុមឧក្រឹដ្ឋជនសាយប័រ FIN7 កើតឡើងនៅឆ្នាំ២០១២ មានកំណត់ត្រាដំឡើងមេរោគទ្រង់ទ្រាយធំ វាយប្រហារលើប្រព័ន្ធផ្នែកលក់ (PoS) នៅភោជនីយដ្ឋាន បនល្បែង និងឧស្សាហកម្មបដិសណ្ឋារកិច្ច ដើម្បីក្លែងបន្លំថវិកា។
ជាង២ឆ្នាំនេះ ក្រុមហេគឃ៏របានប្តូរទៅប្រើមេរោគ ransomware ដើម្បីរកប្រាក់ខុសច្បាប់ ដំបូងជា DarkSide បន្ទាប់មកជា BlackMatter និង BlackCat មិនរាប់ពីការបង្កើតក្រុមហ៊ុនក្លែងក្លាយ ជ្រើសអ្នកសាកល្បងមកវាយប្រហារតាមមេរោគ ransomware។ អ្នកស្រាវជ្រាវ Antonio Cocomazzi និង Pirozzi បានថ្លែងថាៈ នៅត្រង់នេះ FIN7 ឬសម្ព័ន្ធបានចាប់ផ្តើមផ្តាច់ខ្លួនពីប្រតិបត្តិការចាស់។ វាហាក់ដូចជា អ្នកអភិវឌ្ឍនៅពីក្រោយឧបករណ៍របស់ពួកគេ ដើម្បីធ្វើឱ្យខូចការការពារ។ លទ្ធផលបង្ហាញថា Black Basta ប្រើ Qakbot trojan ដើម្បីពង្រាយ Cobalt Strike និង Brute Ratel C4 ជា payload ដំណាក់កាលទី២ នាពេលថ្មីៗនេះ។ អ្នកស្រាវជ្រាវសន្និដ្ឋានថាៈ ប្រព័ន្ធអេកូឧក្រឹដ្ឋកម្មកំពុងតែពង្រីកខ្លួន ផ្លាស់ប្តូរ និងអភិវឌ្ឍឥតឈប់ឈរ។ FIN7 ឬ (Carbanak) ជាទូទៅមានគំនិតច្នៃប្រឌិតថ្មី នៅពេលវាយប្រហារលើធនាគារ និងប្រព័ន្ធ PoS ម្តងៗ។ ក៏មានការបង្ហាញផងដែរពីបណ្តាញអនុវត្តឧក្រឹដ្ឋកម្មផ្នែកហិរញ្ញវត្ថុ (FinCEN) អាមេរិកថា នៅក្នុងការវាយប្រហារដោយមេរោគ ransomware បានកើនឡើងពី ៤៨៧ស្ថាប័ន នៅឆ្នាំ២០២០ ទៅ ១,៤៨៩ស្ថាប័ន នៅឆ្នាំ២០២១ បើគិតជាប្រាក់មានចំនួនសរុបដល់ទៅ ១,២ពាន់លានដុល្លារ កើនឡើង ១៨៨ភាគរយ ឬពី ៤១៦លានដុល្លារកាលពីឆ្នាំមុន៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី៣ វិច្ឆិកា ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា
