С 2012 года киберпреступная группа FIN7 была связана с различными семействами вымогательского ПО, такими как Black Basta, DarkSide, REvil и LockBit. В апреле 2023 года Microsoft обнаружила финансово мотивированного угрозового актора, развертывающего вымогательское ПО Cl0p (также известное как Clop), которое было первой кампанией группы по распространению вымогательского ПО с конца 2021 года. Microsoft классифицировала это действие в рамках своей новой таксономии Sangria Tempest.
Группа известна тем, что создавала фиктивные компании по безопасности, такие как Combi Security и Bastion Secure, чтобы нанимать сотрудников для проведения атак с использованием вымогательского ПО и других операций.
Кроме того, POWERTRASH используется для загрузки инструмента постэксплуатации Lizar и получения доступа к целевой сети, за которым следуют OpenSSH и Impacket для горизонтального перемещения и развертывания вымогательского ПО Clop.
IBM Security X-Force раскрыла, что члены ныне несуществующей группы вымогательского ПО Conti используют новое вредоносное ПО под названием Domino, в то время как WithSecure выделила использование FIN7 POWERTRASH для доставки Lizar (также известного как DICELOADER или Tirion) в связи с атаками, эксплуатирующими высокий уровень уязвимости в программном обеспечении Veeam Backup & Replication (CVE-2023-27532).
Этот переход в стратегии монетизации FIN7 от кражи данных платежных карт к вымогательству показывает, что группа по-прежнему полагается на различные семейства вымогательского ПО для атаки на жертв.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.