Οι διαβόητοι χάκερ FIN7 επιστρέφουν σε επιθέσεις ransomware Clop
Related Posts
Μια ομάδα κυβερνοεγκληματικών με οικονομικά κίνητρα γνωστή ως FIN7 επανεμφανίστηκε τον περασμένο μήνα, με τους αναλυτές απειλών της Microsoft να τη συνδέουν με επιθέσεις όπου ο τελικός στόχος ήταν η ανάπτυξη ωφέλιμων φορτίων ransomware Clop στα δίκτυα των θυμάτων.
“Η ομάδα κυβερνοεγκληματικών Sangria Tempest (ELBRUS, FIN7) με οικονομικά κίνητρα έχει βγει από μια μακρά περίοδο αδράνειας”, η εταιρεία
είπε
σε μια σειρά από tweets από τον λογαριασμό Twitter της Microsoft Security Intelligence.
“Η ομάδα παρατηρήθηκε να αναπτύσσει το Clop ransomware σε ευκαιριακές επιθέσεις τον Απρίλιο του 2023, την πρώτη της καμπάνια ransomware από τα τέλη του 2021.”
Σε αυτές τις πρόσφατες επιθέσεις, οι εισβολείς FIN7 χρησιμοποίησαν το σταγονόμετρο κακόβουλου λογισμικού POWERTRASH που βασίζεται σε PowerShell για να αναπτύξουν το εργαλείο μετά την εκμετάλλευση Lizar σε παραβιασμένες συσκευές.
Αυτό επέτρεψε στους παράγοντες της απειλής να αποκτήσουν βάση μέσα στο στοχευμένο δίκτυο και να κινηθούν πλευρικά για να αναπτύξουν το Clop ransomware χρησιμοποιώντας το OpenSSH και το Impacket. Αυτή η νόμιμη εργαλειοθήκη Python μπορεί επίσης να χρησιμοποιηθεί για απομακρυσμένη εκτέλεση υπηρεσιών και επιθέσεις αναμετάδοσης.
Σύμφωνα με τη Microsoft, το Clop ransomware είναι απλώς το νεότερο στέλεχος που έχει χρησιμοποιήσει η συμμορία του εγκλήματος στον κυβερνοχώρο για να στοχεύσει θύματα.
Η ομάδα είχε συνδεθεί στο παρελθόν με ransomware REvil και Maze πριν από τη συμμετοχή τους στις πλέον ανενεργές λειτουργίες BlackMatter και DarkSide ransomware-as-a-service (Raas).
Συλλήψεις FIN7, αρκουδάκια και ransomware
Από τότε που ξεκίνησε να λειτουργεί πριν από μια δεκαετία, το 2013, ο όμιλος hacking με οικονομικά κίνητρα FIN7 έχει συνδεθεί με επιθέσεις που στοχεύουν κυρίως τράπεζες και τερματικά σημεία πώλησης (PoS) εταιρειών από διάφορους κλάδους της βιομηχανίας (κυρίως εστιατόρια, τυχερά παιχνίδια και φιλοξενία) στην Ευρώπη και τις Ηνωμένες Πολιτείες.
Το FBI έχει προειδοποιήσει τις αμερικανικές εταιρείες για επιθέσεις USB drive-by που συντονίζει η FIN7, στοχεύοντας την αμυντική βιομηχανία των ΗΠΑ με πακέτα που περιέχουν κακόβουλες συσκευές USB που έχουν σχεδιαστεί για την ανάπτυξη ransomware.
Οι χειριστές FIN7 έχουν επίσης υποδυθεί το Best Buy σε παρόμοιες επιθέσεις με κακόβουλες μονάδες flash μέσω USPS σε ξενοδοχεία, εστιατόρια και επιχειρήσεις λιανικής, πακέτα που περιλάμβαναν επίσης αρκουδάκια για να ξεγελάσουν τους στόχους και να μειώσουν την προστασία τους.
Αν και ορισμένα μέλη του FIN7 έχουν συλληφθεί όλα αυτά τα χρόνια, η ομάδα hacking εξακολουθεί να είναι ενεργή και ισχυρή, όπως αποδεικνύεται από αυτόν τον νέο γύρο επιθέσεων που αναφέρει η Microsoft.
Τον Απρίλιο του 2022, ο «δοκιμαστής στυλό» του FIN7 Denys Iarmak καταδικάστηκε σε 5 χρόνια φυλάκιση για παραβιάσεις δικτύου και επιθέσεις κλοπής πιστωτικών καρτών διάρκειας τουλάχιστον δύο ετών.
Ο Iarmak ήταν το τρίτο μέλος του FIN7 που καταδικάστηκε στις ΗΠΑ μετά τον Andrii Kolpakov (άλλος «δοκιμαστής στυλό») σε φυλάκιση για επτά χρόνια
τον Ιούνιο του 2021
και ο Fedir Hladyr (υψηλού επιπέδου μάνατζερ) καταδικάστηκε σε δέκα χρόνια κάθειρξη
τον Απρίλιο του 2021
.
