Ifølge Microsofts trusselsanalytikere er den berygtede cyberkriminalitets gruppe kendt som FIN7 for nylig dukket op igen og engageret sig i en række angreb, der involverer brug af Clop ransomware.

I en række tweets fra Microsoft Security Intelligence Twitter-kontoen udtalte virksomheden: "Den finansielt motiverede cyberkriminelle gruppe Sangria Tempest (ELBRUS, FIN7) er kommet ud af en lang periode med inaktivitet." De afslørede endvidere, at FIN7 var blevet observeret udføre opportunistiske angreb i april 2023, hvilket markerede deres første ransomware-kampagne siden slutningen af ​​2021.

Under disse seneste angreb brugte FIN7-gerningsmændene en PowerShell-baseret in-memory malware dropper kaldet POWERTRASH til at distribuere Lizar post-udnyttelsesværktøjet på kompromitterede enheder. Dette gjorde det muligt for trusselsaktørerne at få fodfæste i det målrettede netværk og bevæge sig sideværts, ved at udnytte OpenSSH og Impacket til at implementere Clop ransomware. OpenSSH og Impacket er legitime Python-værktøjssæt, der kan misbruges til fjernudførelse af tjenester og relæangreb.

Microsoft bemærker, at Clop ransomware kun er en af ​​de mange stammer, der bruges af denne cyberkriminalitetsbande til at målrette deres ofre. Tidligere har FIN7 været forbundet med REvil og Maze ransomware, såvel som deres involvering i de nu hedengangne ​​BlackMatter og DarkSide ransomware-as-a-service (Raas) operationer.

Baggrunden for FIN7

Ydermere afslørede en privat Microsoft-trusselsanalyserapport at FIN7 også var forbundet med angreb rettet mod PaperCut-printerservere, hvor de implementerede Clop, Bl00dy og LockBit ransomware.

Microsofts resultater indikerede også et potentielt samarbejde eller værktøjsdeling mellem FIN7 og FIN11-gruppen for finansiel kriminalitet, kendt som Lace Tempest. Microsoft identificerede inv.ps1 PowerShell-scriptet, tidligere tilskrevet FIN7, som blev brugt af Lace Tempest-gruppen. Dette tyder på et nyligt partnerskab eller udveksling af værktøjer mellem de to trusselsgrupper.

Siden etableringen i 2013 har FIN7 primært fokuseret på at målrette mod banker og salgssteder (PoS) i Europa og USA. Deres angreb har påvirket virksomheder på tværs af forskellige industrisektorer, især restauranter, spillesteder og gæstfrihedsindustrien. FBI har udstedt advarsler om FIN7's USB drive-by-angreb, hvor gruppen sender pakker indeholdende ondsindede USB-enheder designet til at implementere ransomware, specifikt rettet mod den amerikanske forsvarsindustri.

For at bedrage deres mål har FIN7-medlemmer brugt taktikker som at efterligne Best Buy, distribuere ondsindede flashdrev via USPS. Nogle af disse pakker inkluderede endda bamser for at sænke modtagernes vagt.

På trods af tidligere anholdelser af nogle FIN7-medlemmer, forbliver gruppen aktiv og modstandsdygtig, som det fremgår af Microsofts seneste rapport om deres fornyede kampagne. Især blev "pentesteren" Denys Iarmak idømt fem års fængsel i april 2022 for netværksbrud og kreditkorttyveri, hvilket gjorde ham til det tredje FIN7-medlem, der blev dømt i USA før det. Andrii Kolpakov, også en "pentester", blev i juni 2021 idømt syv års fængsel, mens manager på højt niveau Fedir Hladyr modtog en fængsel på ti år i april 2021.