Desde 2012, el notorio grupo de ciberdelincuencia FIN7 ha estado vinculado a varias familias de ransomware como Black Basta, DarkSide, REvil y LockBit. En abril de 2023, Microsoft detectó al amenazante motivado financieramente desplegando el ransomware Cl0p (también conocido como Clop), marcando la primera campaña de ransomware del grupo desde finales de 2021. Microsoft ha clasificado esta actividad bajo su nueva taxonomía Sangria Tempest.
Las tácticas del grupo incluyen la creación de empresas de seguridad falsas – Combi Security y Bastion Secure – para contratar empleados para realizar ataques de ransomware y otras operaciones.
POWERTRASH se usa para cargar la herramienta de pos-explotación Lizar y obtener un punto de apoyo en una red objetivo, seguido de OpenSSH y Impacket para moverse lateralmente y desplegar el ransomware Clop.
Además, IBM Security X-Force reveló que los miembros del ahora extinto grupo de ransomware Conti están usando un nuevo malware llamado Domino, mientras que WithSecure destacó el uso de POWERTRASH por parte de FIN7 para entregar Lizar (también conocido como DICELOADER o Tirion) en relación con ataques que explotan una vulnerabilidad de alto nivel en el software Veeam Backup & Replication (CVE-2023-27532).
Este cambio en la estrategia de monetización de FIN7 del robo de datos de tarjetas de pago a la extorsión indica la continua dependencia del grupo de varias familias de ransomware para atacar a víctimas.
Source: Hackernews
Para mitigar estas posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.