Ngày 20 tháng 5 năm 2023Ravie LakshmananTội phạm mạng / Ransomware
Nhóm tội phạm mạng khét tiếng được gọi là FIN7 đã được quan sát thấy đang triển khai phần mềm tống tiền Cl0p (hay còn gọi là Clop), đánh dấu chiến dịch mã độc tống tiền đầu tiên của kẻ đe dọa kể từ cuối năm 2021.
Microsoft, đã phát hiện ra hoạt động này vào tháng 4 năm 2023, đang theo dõi tác nhân có động cơ tài chính theo phân loại mới của mình Cơn bão Sangria.
“Trong các cuộc tấn công gần đây, Sangria Tempest sử dụng tập lệnh PowerShell POWERTRASH để tải công cụ hậu khai thác Lizar và giành được chỗ đứng trong mạng mục tiêu,” nhóm tình báo mối đe dọa của công ty cho biết. “Sau đó, họ sử dụng OpenSSH và Impacket để di chuyển ngang và triển khai mã độc tống tiền Clop.”
FIN7 (hay còn gọi là Carbanak, ELBRUS và ITG14) đã được liên kết với các dòng ransomware khác như Black Basta, DarkSide, REvil và LockBit, với tác nhân đe dọa đóng vai trò là tiền thân của các cuộc tấn công ransomware Maze và Ryuk.
Hoạt động ít nhất từ năm 2012, nhóm này đã có thành tích nhắm mục tiêu vào nhiều tổ chức bao gồm phần mềm, tư vấn, dịch vụ tài chính, thiết bị y tế, dịch vụ đám mây, phương tiện truyền thông, thực phẩm và đồ uống, giao thông vận tải và tiện ích.
Một chiến thuật đáng chú ý khác trong playbook của nó là mô hình thành lập các công ty bảo mật giả mạo – Combi Security và Bastion Secure – để tuyển dụng nhân viên thực hiện các cuộc tấn công ransomware và các hoạt động khác.
Tháng trước, IBM Security X-Force đã tiết lộ rằng các thành viên của nhóm ransomware Conti hiện không còn tồn tại đang sử dụng một phần mềm độc hại mới có tên là Domino do nhóm tội phạm mạng phát triển.
Việc FIN7 sử dụng POWERTRASH để cung cấp Lizar (còn gọi là DICELOADER hoặc Tirion) cũng đã được WithSecure nhấn mạnh vài tuần trước liên quan đến các cuộc tấn công khai thác lỗ hổng nghiêm trọng trong phần mềm Sao lưu & Sao chép Veeam (CVE-2023-27532) để giành quyền truy cập ban đầu.
Sự phát triển mới nhất cho thấy FIN7 tiếp tục phụ thuộc vào các dòng ransomware khác nhau để nhắm mục tiêu nạn nhân như một phần của sự thay đổi trong chiến lược kiếm tiền bằng cách chuyển từ đánh cắp dữ liệu thẻ thanh toán sang tống tiền.
