Des de 2012, el grup de cibercriminalitat conegut com a FIN7 s’ha relacionat amb diverses famílies de ransomware com ara Black Basta, DarkSide, REvil i LockBit. El mes d’abril de 2023, Microsoft va detectar l’actor motivat financer desplegant el ransomware Cl0p (també conegut com a Clop), marcant la primera campanya de ransomware del grup des de finals de 2021. Microsoft ha classificat aquesta activitat sota la seva nova taxonomia Sangria Tempest.
Les tàctiques del grup inclouen l’establiment de companyies de seguretat falses – Combi Security i Bastion Secure – per contractar empleats per dur a terme atacs de ransomware i altres operacions.
POWERTRASH s’utilitza per carregar l’eina de post-explotació Lizar i obtenir un peu a la xarxa diana, seguit d’OpenSSH i Impacket per moure’s lateralment i desplegar el ransomware Clop.
A més, IBM Security X-Force va revelar que els membres del ja desaparegut grup de ransomware Conti estan utilitzant un nou malware anomenat Domino, mentre que WithSecure va destacar l’ús de POWERTRASH de FIN7 per lliurar Lizar (també conegut com a DICELOADER o Tirion) en relació amb atacs que exploten una fallada de gran severitat en el programari Veeam Backup & Replication (CVE-2023-27532).
Aquest canvi en l’estratègia de monetització de FIN7 de robatori de dades de targetes de pagament a extorsió indica la seva continuada dependència de diverses famílies de ransomware per a atacar les víctimes.
Source: Hackernews
Per mitigar aquestes amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.