Se ha observado que el notorio grupo de ciberdelincuencia conocido como FIN7 implementa el ransomware Cl0p (también conocido como Clop), lo que marca la primera campaña de ransomware del actor de amenazas desde finales de 2021.
Microsoft, que detectó la actividad en abril de 2023, está rastreando al actor motivado financieramente bajo su nueva taxonomía. Tempestad de sangría.
«En estos ataques recientes, Sangria Tempest usa el script de PowerShell POWERTRASH para cargar la herramienta de post-explotación de Lizar y establecerse en una red de destino», dijo el equipo de inteligencia de amenazas de la compañía. dicho. «Luego usan OpenSSH e Impacket para moverse lateralmente e implementar el ransomware Clop».
FIN7 (también conocido como Carbanak, ELBRUS e ITG14) se ha relacionado con otras familias de ransomware como Black Basta, DarkSide, REvil y LockBit, y el actor de amenazas actúa como precursor de los ataques de ransomware Maze y Ryuk.
Activo desde al menos 2012, el grupo tiene una trayectoria de apuntando un amplio espectro de organizaciones que abarcan software, consultoría, servicios financieros, equipos médicos, servicios en la nube, medios, alimentos y bebidas, transporte y servicios públicos.
Otra táctica notable en su libro de jugadas es su patrón de establecer compañías de seguridad falsas, Combi Security y Bastion Secure, para reclutar empleados para realizar ataques de ransomware y otras operaciones.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
El mes pasado, IBM Security X-Force reveló que los miembros de la pandilla de ransomware Conti, ahora desaparecida, están utilizando un nuevo malware llamado Domino desarrollado por el cartel del cibercrimen.
WithSecure también destacó el uso de FIN7 de POWERTRASH para entregar Lizar (también conocido como DICELOADER o Tirion) hace unas semanas en relación con los ataques que explotaban una falla de alta gravedad en el software Veeam Backup & Replication (CVE-2023-27532) para obtener acceso inicial.
El último desarrollo significa la dependencia continua de FIN7 en varias familias de ransomware para atacar a las víctimas como parte de un cambio en su estrategia de monetización al pasar del robo de datos de tarjetas de pago a la extorsión.