FIN7 не сдается: хакеры вернулись с новым рансомваром Clop

Знаменитая киберпреступная группа FIN7, также известная как Carbanak, ELBRUS и Sangria Tempest, возобновила свою деятельность после длительного перерыва. В апреле 2023 года Microsoft обнаружила, что группа использует Clop для атак на различные организации. Это первая кампания распространения вымогательского ПО с конца 2021 года.

По данным Microsoft, злоумышленники применяют скрипт PowerShell под названием POWERTRASH для загрузки инструмента пост-эксплуатации Lizar (aka DICELOADER или Tirion) и получения доступа к целевым сетям. Затем они используют OpenSSH и Impacket для перемещения по сети и развертывания Clop-рансомвара.

FIN7 связывают с другими семействами вымогательского ПО, такими как Black Basta, DarkSide, REvil и LockBit.

FIN7 активна с 2012 года и специализируется на краже банковских данных и информации с платежных терминалов. Группа атакует широкий спектр организаций из разных отраслей, включая программное обеспечение, консалтинг, финансовые услуги, медицинское оборудование, облачные сервисы, СМИ, пищевую промышленность, транспорт и коммунальные услуги.

Группа также применяет необычные тактики, такие как создание поддельных компаний по кибербезопасности – Combi Security и BastionSecure – для найма сотрудников для проведения атак и других операций.

В прошлом месяце IBM Security X-Force сообщила , что члены теперь несуществующей группы Conti используют новое вредоносное ПО под названием Domino, которое разработано киберпреступным картелем.

Использование FIN7 POWERTRASH для доставки Lizar также было отмечено WithSecure несколько недель назад в связи с атаками, эксплуатирующими серьезную уязвимость в программном обеспечении Veeam Backup & Replication (CVE-2023-27532) для получения первоначального доступа.

Последнее развитие событий свидетельствует о том, что FIN7 продолжает полагаться на различные семейства вымогательского ПО для атаки жертв в рамках изменения своей стратегии монетизации путем перехода от кражи платежных данных к вымогательству.

В октябре 2021 года FIN7 начала использовать RaaS-модель (ransomware-as-a-service), поскольку это оказалось прибыльным для большинства хакеров. Исследователи кибербезопасности из Mandiant обнаружили , что FIN7 до недавнего времени использовалась для финансирования операций, связанных с REvil , DarkSide , BlackMatter и BlackCat . Но теперь группа намерена разработать собственный вариант программы-вымогателя.

Предполагается, что FIN7 стояла за атакой на Colonial Pipeline в 2021 году, что привело к нехватке топлива на востоке США. Также по словам ФБР , участники FIN7 являются высококвалифицированными хакерами, находящимися в России.