Новости FIN7 не сдается: хакеры вернулись с новым рансомваром Clop

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Microsoft обнаружила, что группа действует в сотрудничестве с другими опасными субъектами угроз.


g1vsgkmjrzk10k5nqn6y6aa9yl0lvfxx.jpg


Знаменитая киберпреступная группа FIN7 , также известная как Carbanak, ELBRUS и Sangria Tempest, возобновила свою деятельность после длительного перерыва. В апреле 2023 года Microsoft обнаружила, что группа использует Clop для атак на различные организации. Это первая кампания распространения вымогательского ПО с конца 2021 года.

По данным Microsoft, злоумышленники применяют скрипт PowerShell под названием POWERTRASH для загрузки инструмента пост-эксплуатации Lizar (aka DICELOADER или Tirion) и получения доступа к целевым сетям. Затем они используют OpenSSH и Impacket для перемещения по сети и развертывания Clop-рансомвара.

FIN7 связывают с другими семействами вымогательского ПО, такими как Black Basta, DarkSide, REvil и LockBit.

FIN7 активна с 2012 года и специализируется на краже банковских данных и информации с платежных терминалов. Группа атакует широкий спектр организаций из разных отраслей, включая программное обеспечение, консалтинг, финансовые услуги, медицинское оборудование, облачные сервисы, СМИ, пищевую промышленность, транспорт и коммунальные услуги.

Группа также применяет необычные тактики, такие как создание поддельных компаний по кибербезопасности – Combi Security и BastionSecure – для найма сотрудников для проведения атак и других операций.

В прошлом месяце Для просмотра ссылки Войди или Зарегистрируйся , что члены теперь несуществующей группы Conti используют новое вредоносное ПО под названием Domino, которое разработано киберпреступным картелем.

Использование FIN7 POWERTRASH для доставки Lizar также Для просмотра ссылки Войди или Зарегистрируйся несколько недель назад в связи с атаками, эксплуатирующими серьезную уязвимость в программном обеспечении Veeam Backup & Replication (CVE-2023-27532) для получения первоначального доступа.

Последнее развитие событий свидетельствует о том, что FIN7 продолжает полагаться на различные семейства вымогательского ПО для атаки жертв в рамках изменения своей стратегии монетизации путем перехода от кражи платежных данных к вымогательству.

В октябре 2021 года FIN7 Для просмотра ссылки Войди или Зарегистрируйся (ransomware-as-a-service), поскольку это оказалось прибыльным для большинства хакеров. Исследователи кибербезопасности из Mandiant обнаружили , что FIN7 до недавнего времени использовалась для финансирования операций, связанных с REvil , DarkSide , BlackMatter и BlackCat . Но теперь группа намерена разработать собственный вариант программы-вымогателя.

Предполагается, что FIN7 Для просмотра ссылки Войди или Зарегистрируйся в 2021 году, что привело к нехватке топлива на востоке США. Также по словам ФБР , участники FIN7 являются высококвалифицированными хакерами, находящимися в России.
 
Источник новости
www.securitylab.ru

Похожие темы