Le groupe de cybercriminalité notoire connu sous le nom de FIN7 a été observé en train de déployer le ransomware Cl0p (alias Clop), marquant la première campagne de ransomware de l’acteur menaçant depuis fin 2021.
Microsoft, qui a détecté l’activité en avril 2023, suit l’acteur financièrement motivé dans sa nouvelle taxonomie Tempête sangria.
« Lors de ces récentes attaques, Sangria Tempest utilise le script PowerShell POWERTRASH pour charger l’outil de post-exploitation Lizar et prendre pied dans un réseau cible », a déclaré l’équipe de renseignement sur les menaces de l’entreprise. a dit. « Ils utilisent ensuite OpenSSH et Impacket pour se déplacer latéralement et déployer le rançongiciel Clop. »
FIN7 (alias Carbanak, ELBRUS et ITG14) a été lié à d’autres familles de ransomwares telles que Black Basta, DarkSide, REvil et LockBit, l’acteur menaçant agissant comme un précurseur des attaques de ransomwares Maze et Ryuk.
Actif depuis au moins 2012, le groupe a un palmarès de ciblage un large éventail d’organisations couvrant les logiciels, le conseil, les services financiers, l’équipement médical, les services cloud, les médias, l’alimentation et les boissons, les transports et les services publics.
Une autre tactique notable dans son playbook est sa tendance à créer de fausses sociétés de sécurité – Combi Security et Bastion Secure – pour recruter des employés pour mener des attaques de ransomware et d’autres opérations.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Le mois dernier, IBM Security X-Force a révélé que les membres du gang de rançongiciels Conti, aujourd’hui disparu, utilisaient un nouveau malware appelé Domino, développé par le cartel de la cybercriminalité.
L’utilisation par FIN7 de POWERTRASH pour livrer Lizar (alias DICELOADER ou Tirion) a également été mise en avant par WithSecure il y a quelques semaines en lien avec des attaques exploitant une faille de haute gravité dans le logiciel Veeam Backup & Replication (CVE-2023-27532) pour obtenir l’accès initial.
Le dernier développement signifie que FIN7 continue de s’appuyer sur diverses familles de ransomwares pour cibler les victimes dans le cadre d’un changement dans sa stratégie de monétisation en passant du vol de données de carte de paiement à l’extorsion.