Dark red silhouette of a hacker with malware tag cloud
กลุ่มอาชญากรทางไซเบอร์ FIN7 ซึ่งก่อนหน้านี้รู้จักกันในชื่อ Carbanak ได้ดำเนินการด้านอาชญากรรมทางไซเบอร์มาตั้งแต่ปี 2555 ซึ่งกลุ่มนี้เริ่มต้นโดยการใช้มัลแวร์กับเครื่องชำระเงิน (POS) โดยมีแรงจูงใจทางการเงิน และเปลี่ยนไปใช้แรนซัมแวร์ประมาณปี 2563 โดยมีปฏิบัติการเชื่อมโยงกับกลุ่มแรนซัมแวร์ Revil และConti ก่อนที่จะดำเนินการด้านแรนซัมแวร์ด้วยตัวเองในชื่อ BlackMatter ในภายหลัง
ทั้งนี้มีการค้นพบว่ากลุ่มอาชญากรไซเบอร์ FIN7 ที่มีปฏิบัติการมาอย่างยาวนาน มีความเกี่ยวข้องกับปฏิบัติการแรนซัมแวร์ Black Basta ซึ่งอยู่เบื้องหลังการโจมตีทางไซเบอร์ระดับสูงของเหตุการณ์การโจมตีสมาคมทันตกรรมสหรัฐอเมริกา และการโจมตีบริษัท Deutsche Windtechnik ผู้ดำเนินกิจการด้านกังหันลมของเยอรมนี
therecord.media อ้างอิงรายงานการวิเคราะห์ของ SentinelOne ซึ่งพบว่าในเหตุการณ์เรียกค่าไถ่ของกลุ่มแรนซัมแวร์ Black Basta หลายครั้งนั้น ผู้ก่อเหตุภัยคุกคามทางไซเบอร์ใช้เครื่องมือสำหรับหลีกเลี่ยงการตรวจจับและหลีกเลี่ยงการป้องกันการโจมตีทางไซเบอร์ที่ FIN7 พัฒนาขึ้น
กลุ่มแรนซัมแวร์ Black Basta ปรากฏตัวขึ้นเมื่อเดือนเม.ย. 65 และโจมตีองค์กรมากกว่า 90 องค์กรภายในเดือน ก.ย. 65 ความรวดเร็วและปริมาณของการโจมตีเพื่อเรียกค่าไถ่นั้น แสดงให้เห็นว่าผู้ที่อยู่เบื้องหลัง Black Basta มีการปฏิบัติการและการจัดสรรทรัพยากรสำหรับการโจมตีที่ดี
สิ่งสำคัญ คือ ไม่มีข้อบ่งชี้ใด ๆ ว่า Black Basta พยายามหาเครือข่ายหรือโฆษณาตัวเองว่าเป็นผู้ให้บริการแรนซัมแวร์ในกระดานสนทนา darknet หรือตลาดของ Crimeware เหมือนแรนซัมแวร์กลุ่มอื่น ๆ ที่ทำกันตามปกติ
นายอดัม เฟลดลี่ย์ (Adam Flatley) ผู้อำนวยการด้านข่าวกรองภัยคุกคามที่บริษัท Redacted บอกกับ The Record ว่า FIN7 ได้ร่วมมือกับกลุ่มแรนซัมแวร์หลายกลุ่มมาหลายปีแล้ว แต่สิ่งที่สำคัญที่สุดของรายงาน SentinelOne ไม่ใช่เรื่องการบ่งบอกว่ากลุ่มแรนซัมแวร์ Black Basta ทำงานร่วมกับกลุ่มอาชญากรทางไซเบอร์ FIN7
ทั้งนี้สิ่งสำคัญที่สุดของรายงานดังกล่าวนั้น คือการที่แสดงให้เห็นว่า FIN7 เป็นหนึ่งในกลุ่มอาชญากรทางไซเบอร์ที่มีความสามารถมากที่สุด สามารถช่วยให้กลุ่มแรนซัมแวร์ที่มีความสามารถน้อยกว่ามีประสิทธิภาพเพิ่มมากขึ้น
ที่มา : https://therecord.media/fin7-cybercrime-cartel-tied-to-black-basta-ransomware-operation-report/
: https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/?utm_source=substack&utm_medium=email
