Cyberthreat.id – Peneliti keamanan dari SentinelLabs mengungkapkan bahwa aktor yang berada di balik ransomware Black Basta, berkaitan dengan operasi peretasan yang dilakukan oleh aktor ancaman FIN7.

Dikutip dari Info Security Magazine, dalam laporan terbarunya, SentinelLabs mengatakan bahwa aktor dibalik Black Basta telah menggunakan alat gangguan pertahanan khusus. Alat ini ditemukan secara eksklusif dalam insiden oleh aktor ancaman khusus dalam beberapa kasus.

“Penyelidikan kami membawa kami ke alat khusus lebih lanjut, sebuah executable yang dikemas dengan UPX (Ultimate Packer for Executables,” tulis SentinelLabs dalam laporannya.

Menurut peneliti, alat ini merupakan biner yang dikompilasi dengan Visual Basic. Fungsi utamanya adalah untuk menunjukkan GUI Keamanan Windows palsu dan ikon baki dengan status sistem yang sehat, bahkan jika Windows Defender dan fungsi sistem lainnya dinonaktifkan.

Peneliti menambahkan, analisis alat membawa tim ke sampel tambahan, salah satunya termasuk pengepak yang tidak diketahui yang, setelah dibongkar, diidentifikasi sebagai BIRDDOG (alias SocksBot), pintu belakang yang digunakan dalam beberapa operasi oleh pelaku ancaman FIN7.

“Kami menilai kemungkinan pelaku ancaman yang mengembangkan alat gangguan yang digunakan oleh Black Basta adalah pelaku yang sama dengan akses ke kode sumber pengepakan yang digunakan dalam operasi FIN7,” kata peneliti.

SentinelLabs meyakini, keduanya juga telah menjalin hubungan lain antara kedua kelompok peretas tersebut. Menurut mereka, pada awalnya FIN7 menggunakan malware POS (Point of Sale) untuk melakukan penipuan keuangan. Namun, sejak 2020 mereka beralih ke operasi ransomware, berafiliasi dengan REvil, Conti dan juga melakukan operasi mereka sendiri. Kemudian, pelaku ancaman atau afiliasinya mulai membuat alat dari awal untuk memisahkan operasi baru mereka dari yang lama.

“FIN7 (atau Carbanak) sering dikreditkan dengan inovasi di bidang kriminal, melakukan serangan terhadap bank dan sistem PoS ke tingkat yang lebih tinggi di luar skema rekan-rekan mereka,” kata peneliti.

Peneliti mengatakan, saat mereka mengklarifikasi aktor di balik operasi ransomware Black Basta yang sulit dipahami, mereka tidak terkejut melihat wajah yang familier di balik operasi tertutup yang ambisius ini. Meskipun ada banyak wajah baru dan beragam ancaman di ransomware dan ruang pemerasan ganda.

Laporan SentinelLabs rilis beberapa minggu setelah laporan dari Ivanti menyarankan bahwa ransomware, termasuk Black Basta, telah tumbuh sebesar 466% sejak 2019 dan semakin digunakan sebagai salah satu alat dalam kampanye kejahatan siber.