La famosa pandilla cibernética FIN7 regresa con ransomware Cl0p

Se ha observado que el notorio grupo de cibercrimen conocido como FIN7 implementa ransomware Cl0p (también conocido como Clop), marcando la primera campaña de ransomware del actor de amenazas desde finales de 2021.

Microsoft, que detectó la actividad en abril de 2023, está rastreando al actor motivado financieramente bajo su nueva taxonomía Sangria Tempest.

"En estos ataques recientes, Sangria Tempest utiliza el script de PowerShell POWERTRASH para cargar la herramienta de post-explotación Lizar y obtener un punto de apoyo en una red objetivo", dijo el equipo de inteligencia de amenazas de la compañía. "Luego usan OpenSSH e Impacket para moverse lateralmente y desplegar el ransomware Clop".

FIN7 (también conocido como Carbanak, ELBRUS e ITG14) se ha relacionado con otras familias de ransomware como Black Basta, DarkSide, REvil y LockBit, con el actor de amenazas actuando como precursor de los ataques de ransomware Maze y Ryuk.

Activo desde al menos 2012, el grupo tiene un historial de apuntar a un amplio espectro de organizaciones que abarcan software, consultoría, servicios financieros, equipos médicos, servicios en la nube, medios, alimentos y bebidas, transporte y servicios públicos.

Otra táctica notable en su libro de jugadas es su patrón de creación de compañías de seguridad falsas, Combi Security y Bastion Secure, para reclutar empleados para realizar ataques de ransomware y otras operaciones.

El mes pasado, IBM Security X-Force reveló que los miembros de la ahora desaparecida pandilla de ransomware Conti están utilizando un nuevo malware llamado Domino desarrollado por el cártel del cibercrimen.

El uso de POWERTRASH por parte de FIN7 para entregar Lizar (también conocido como DICELOADER o Tirion) también fue destacado por WithSecure hace unas semanas en relación con ataques que explotan una falla de alta gravedad en el software Veeam Backup & Replication (CVE-2023-27532) para obtener acceso inicial.

El último desarrollo significa la continua dependencia de FIN7 de varias familias de ransomware para atacar a las víctimas como parte de un cambio en su estrategia de monetización al alejarse del robo de datos de tarjetas de pago a la extorsión.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta