Microsoft обнаружила, что группа действует в сотрудничестве с другими опасными субъектами угроз.
Знаменитая киберпреступная группа FIN7, также известная как Carbanak, ELBRUS и Sangria Tempest, возобновила свою деятельность после длительного перерыва. В апреле 2023 года Microsoft обнаружила, что группа использует Clop для атак на различные организации. Это первая кампания распространения вымогательского ПО с конца 2021 года.
По данным Microsoft, злоумышленники применяют скрипт PowerShell под названием POWERTRASH для загрузки инструмента пост-эксплуатации Lizar (aka DICELOADER или Tirion) и получения доступа к целевым сетям. Затем они используют OpenSSH и Impacket для перемещения по сети и развертывания Clop-рансомвара.
FIN7 связывают с другими семействами вымогательского ПО, такими как Black Basta, DarkSide, REvil и LockBit.
FIN7 активна с 2012 года и специализируется на краже банковских данных и информации с платежных терминалов. Группа атакует широкий спектр организаций из разных отраслей, включая программное обеспечение, консалтинг, финансовые услуги, медицинское оборудование, облачные сервисы, СМИ, пищевую промышленность, транспорт и коммунальные услуги.
Группа также применяет необычные тактики, такие как создание поддельных компаний по кибербезопасности – Combi Security и BastionSecure – для найма сотрудников для проведения атак и других операций.
В прошлом месяце IBM Security X-Force сообщила , что члены теперь несуществующей группы Conti используют новое вредоносное ПО под названием Domino, которое разработано киберпреступным картелем.
Использование FIN7 POWERTRASH для доставки Lizar также было отмечено WithSecure несколько недель назад в связи с атаками, эксплуатирующими серьезную уязвимость в программном обеспечении Veeam Backup & Replication (CVE-2023-27532) для получения первоначального доступа.
Последнее развитие событий свидетельствует о том, что FIN7 продолжает полагаться на различные семейства вымогательского ПО для атаки жертв в рамках изменения своей стратегии монетизации путем перехода от кражи платежных данных к вымогательству.
В октябре 2021 года FIN7 начала использовать RaaS-модель (ransomware-as-a-service), поскольку это оказалось прибыльным для большинства хакеров. Исследователи кибербезопасности из Mandiant обнаружили , что FIN7 до недавнего времени использовалась для финансирования операций, связанных с REvil , DarkSide , BlackMatter и BlackCat . Но теперь группа намерена разработать собственный вариант программы-вымогателя.
Предполагается, что FIN7 стояла за атакой на Colonial Pipeline в 2021 году, что привело к нехватке топлива на востоке США. Также по словам ФБР , участники FIN7 являются высококвалифицированными хакерами, находящимися в России.
05-07-2025, 09:58 PM
Linear Mode
