El mes pasado, se detectó una reaparición del grupo delictivo en línea FIN7, cuyos principales incentivos son de naturaleza financiera. Según los analistas de amenazas de Microsoft, se lo ha relacionado con una serie de ataques en los que el objetivo final es la infiltración de software malicioso de ransomware Clop en las redes de las personas afectadas.
«El grupo cibercriminal motivado financieramente, Sangria Tempest (ELBRUS, FIN7) ha salido de un largo período de inactividad», dijo la compañía en una serie de tweets desde la cuenta de Twitter de Microsoft Security Intelligence.
«Se observó que el grupo desplegaba el ransomware Clop en ataques oportunistas en abril de 2023, su primera campaña de ransomware desde finales de 2021».
En los ataques recientes, los agresores de FIN7 emplearon el gotero de malware POWERTRASH en memoria, basado en PowerShell, para desplegar la herramienta de postexplotación Lizar en dispositivos comprometidos.
Esto permitió que los perpetradores se establecieran dentro de la red objetivo y se desplazaran lateralmente para implementar el ransomware Clop utilizando OpenSSH e Impacket. Este conjunto de herramientas legítimas de Python también puede utilizarse para la ejecución remota de servicios y ataques de retransmisión.
De acuerdo con Microsoft, el ransomware Clop representa la variante más reciente que el grupo de ciberdelincuentes ha empleado para atacar a sus víctimas.
Anteriormente, se había vinculado a este grupo con los ransomwares REvil y Maze, antes de su participación en las operaciones de ransomware como servicio (Raas) BlackMatter y DarkSide, que ahora han desaparecido.
Herramientas utilizadas por FIN7
De acuerdo con un informe confidencial de análisis de amenazas de Microsoft, que fue revisado por el equipo de BleepingComputer, se ha establecido una conexión entre el grupo delictivo financiero FIN7 y los ataques dirigidos a servidores de impresión PaperCut utilizando ransomware como Clop, Bl00dy y LockBit.
Microsoft ha identificado al grupo delictivo financiero FIN11, conocido como Lace Tempest, utilizando nuevas herramientas, entre las cuales se encuentra el script “inv.ps1” de PowerShell, que la compañía ha relacionado con FIN7.
Este script se utilizó para implementar el kit de post-explotación Lizar de FIN7, lo que sugiere que los operadores de ambos grupos de amenazas han comenzado recientemente a colaborar o compartir sus herramientas en los ataques.
Operaciones y detenciones
Desde que comenzó a funcionar en 2013, FIN7, un grupo motivado por razones financieras ha estado involucrado en ataques dirigidos principalmente a bancos y terminales de punto de venta (PoS) en Europa y Estados Unidos, con un enfoque predominante en sectores industriales como restaurantes, juegos de azar y hospitalidad.
El FBI ha advertido a las empresas estadounidenses sobre ataques coordinados por FIN7 utilizando unidades USB, dirigidos a la industria de defensa de Estados Unidos. Estos ataques involucran paquetes que contienen dispositivos USB maliciosos diseñados para implementar ransomware.
Además, los operadores de FIN7 han llevado a cabo ataques similares haciéndose pasar por Best Buy, utilizando unidades flash maliciosas enviadas a hoteles, restaurantes y negocios minoristas a través del servicio postal.
A pesar de que algunos miembros de FIN7 han sido arrestados a lo largo de los años, el grupo sigue activo y demostrando su fuerza, como lo demuestran los nuevos ataques reportados por Microsoft.
En abril de 2022, Denys Larmak, conocido como el «pen tester» de FIN7, fue condenado a cinco años de prisión por vulneraciones a la red y ataques de robo de tarjetas de crédito que ocurrieron durante al menos dos años.
Larmak es el tercer miembro de FIN7 en ser sentenciado en los Estados Unidos. Anteriormente, Andrii Kolpakov, fue condenado a siete años de prisión en junio de 2021, mientras que Fedir Hladyr, un alto gerente del grupo, recibió una sentencia de diez años en abril de 2021.
FUENTE:
Ciberprisma - alianza por la ciberseguridad 