Dal 2012, il noto gruppo di cybercriminali FIN7 è stato collegato a varie famiglie di ransomware come Black Basta, DarkSide, REvil e LockBit. Nel mese di aprile 2023, Microsoft ha rilevato che l’attore minaccioso motivato finanziariamente stava distribuendo il ransomware Cl0p (noto anche come Clop), segnalando la prima campagna di ransomware del gruppo dalla fine del 2021. Microsoft ha classificato questa attività secondo la sua nuova tassonomia Sangria Tempest.
Le tattiche del gruppo includono l’impostazione di finte società di sicurezza, Combi Security e Bastion Secure, per assumere dipendenti per condurre attacchi ransomware e altre operazioni.
POWERTRASH viene utilizzato per caricare lo strumento di post-exploitation Lizar e ottenere una presa nella rete di destinazione, seguito da OpenSSH e Impacket per spostarsi lateralmente e distribuire il ransomware Clop.
Inoltre, IBM Security X-Force ha rivelato che i membri del gruppo ransomware ormai defunto Conti stanno utilizzando un nuovo malware chiamato Domino, mentre WithSecure ha evidenziato l’utilizzo di POWERTRASH da parte di FIN7 per consegnare Lizar (noto anche come DICELOADER o Tirion) in connessione con attacchi che sfruttano una vulnerabilità di alto livello nel software Veeam Backup & Replication (CVE-2023-27532).
Questo cambiamento nella strategia di monetizzazione di FIN7 dal furto di dati di carte di pagamento all’estorsione indica la continua dipendenza del gruppo da varie famiglie di ransomware per colpire le vittime.
Source: Hackernews
Per mitigare queste potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.