Từ năm 2012, nhóm tội phạm mạng FIN7 đã được liên kết với nhiều gia đình ransomware như Black Basta, DarkSide, REvil và LockBit. Vào tháng 4 năm 2023, Microsoft phát hiện ra nhân vật đe dọa với động cơ tài chính triển khai ransomware Cl0p (còn được gọi là Clop), đây là chiến dịch ransomware đầu tiên của nhóm kể từ cuối năm 2021. Microsoft đã phân loại hoạt động này theo hệ thống phân loại mới của mình, Sangria Tempest.
Nhóm này đã được biết đến với việc thiết lập các công ty bảo mật giả, như Combi Security và Bastion Secure, để tuyển dụng nhân viên thực hiện các cuộc tấn công ransomware và các hoạt động khác.
Ngoài ra, POWERTRASH được sử dụng để tải công cụ khai thác sau này Lizar và truy cập vào mạng mục tiêu, tiếp theo là OpenSSH và Impacket để di chuyển ngang và triển khai ransomware Clop.
IBM Security X-Force tiết lộ rằng các thành viên của nhóm ransomware Conti hiện không còn hoạt động đang sử dụng phần mềm độc hại mới có tên Domino, trong khi WithSecure nêu bật việc sử dụng POWERTRASH của FIN7 để cung cấp Lizar (còn được gọi là DICELOADER hoặc Tirion) liên quan đến các cuộc tấn công khai thác lỗ hổng nghiêm trọng trong phần mềm Veeam Backup & Replication (CVE-2023-27532).
Sự chuyển đổi trong chiến lược thu lợi nhuận của FIN7 từ việc ăn cắp dữ liệu thẻ thanh toán sang tống tiền cho thấy nhóm vẫn đang dựa vào các gia đình ransomware khác nhau để tấn công nạn nhân.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.