Il noto gruppo di criminali informatici noto come FIN7 è stato osservato mentre distribuisce il ransomware Cl0p (noto anche come Clop), segnando la prima campagna di ransomware di questi malintenzionati che si erano fermati verso la fine del 2021.
Microsoft, che ha rilevato l’attività nell’aprile 2023, sta monitorando l’attore motivato finanziariamente sotto la sua nuova tassonomia nota come Sangria Tempest.
Cosa dicono gli esperti di FIN7?
“In questi recenti attacchi, Sangria Tempest utilizza lo script PowerShell POWERTRASH per caricare lo strumento di post-sfruttamento Lizar e ottenere un punto d’appoggio in una rete target,” ha detto il team di intelligence sulle minacce informatiche di Microsoft, aggiungendo “Quindi utilizzano OpenSSH e Impacket per muoversi lateralmente e distribuire il ransomware Clop.”
FIN7 (noto anche come Carbanak, ELBRUS e ITG14) è stato collegato ad altre famiglie di ransomware come Black Basta, DarkSide, REvil e LockBit, con l’attore minaccioso che agisce come precursore per gli attacchi di ransomware Maze e Ryuk.
Attivo almeno dal 2012, il gruppo ha un “curriculum” di attacchi con una ampia gamma di organizzazioni che vanno dal software, consulenza, servizi finanziari, attrezzature mediche, servizi cloud, media, alimenti e bevande, trasporti e servizi pubblici.
Un’altra tattica degna di nota da parte del gruppo è il suo modello di creazione di false società di sicurezza, come Combi Security e Bastion Secure, per reclutare dipendenti per condurre attacchi di ransomware e altre operazioni.
Il mese scorso, IBM Security X-Force ha rivelato che i membri della ormai defunta gang di ransomware Conti stanno utilizzando un nuovo malware chiamato Domino che è stato sviluppato dal cartello del cybercrimine.
L’uso di POWERTRASH da parte di FIN7 per distribuire Lizar (noto anche come DICELOADER o Tirion) è stato anche reso noto da WithSecure poche settimane fa in relazione agli attacchi che sfruttano un difetto ad alta gravità nel software Veeam Backup & Replication (CVE-2023-27532) per ottenere l’accesso iniziale.
L’ultimo sviluppo segnala la continua dipendenza di FIN7 da varie famiglie di ransomware per colpire le vittime come parte di un cambiamento nella sua strategia di monetizzazione attraverso il passaggio dal furto di dati di carte di pagamento all’estorsione.
