Se ha observado que el notorio grupo de ciberdelincuencia conocido como FIN7 implementa el ransomware Cl0p (también conocido como Clop), lo que marca la primera campaña de ransomware del actor de amenazas desde finales de 2021.
Microsoft, que detectó la actividad en abril de 2023, está rastreando al actor motivado financieramente bajo su nueva taxonomía Sangria Tempest .
“En estos ataques recientes, Sangria Tempest utiliza el script de PowerShell POWERTRASH para cargar la herramienta de post-explotación Lizar y establecerse en una red de destino”, dijo el equipo de inteligencia de amenazas de la compañía . «Luego usan OpenSSH e Impacket para moverse lateralmente e implementar el ransomware Clop».
FIN7 (también conocido como Carbanak, ELBRUS e ITG14) se ha relacionado con otras familias de ransomware como Black Basta, DarkSide, REvil y LockBit, y el actor de amenazas actúa como precursor de los ataques de ransomware Maze y Ryuk.
Activo desde al menos 2012, el grupo tiene un historial de apuntar a un amplio espectro de organizaciones que abarcan software, consultoría, servicios financieros, equipos médicos, servicios en la nube, medios, alimentos y bebidas, transporte y servicios públicos.
Otra táctica notable en su libro de jugadas es su patrón de establecer compañías de seguridad falsas , Combi Security y Bastion Secure, para reclutar empleados para realizar ataques de ransomware y otras operaciones.
El mes pasado, IBM Security X-Force reveló que los miembros de la pandilla de ransomware Conti, ahora desaparecida, están utilizando un nuevo malware llamado Domino desarrollado por el cartel del cibercrimen.
WithSecure también destacó el uso de FIN7 de POWERTRASH para entregar Lizar (también conocido como DICELOADER o Tirion) hace unas semanas en relación con los ataques que explotaban una falla de alta gravedad en el software Veeam Backup & Replication ( CVE-2023-27532 ) para obtener acceso inicial.
El último desarrollo significa la dependencia continua de FIN7 en varias familias de ransomware para atacar a las víctimas como parte de un cambio en su estrategia de monetización al pasar del robo de datos de tarjetas de pago a la extorsión.
Fuente y redacción: thehackernews.com
