Fin7

El Grupo de hackers FIN7 Implementa el Ransomware Cl0p

El Rastro del Grupo Cibernético FIN7

El reconocido grupo de hackers conocido como FIN7 ha comenzado a desplegar el ransomware Cl0p (también identificado como CLOP), marcando su primera campaña de ransomware desde finales de 2021. Según Microsoft, que detectó esta actividad en abril de 2023, el grupo, motivado por intereses financieros, ahora se rastrea bajo la nueva taxonomía Sangria Tempest.

Ransomware Cl0P

Tácticas y Herramientas Utilizadas en los Ataques Recientes

En estos ataques recientes, la Sangria Tempest ha utilizado el script PowerShell Powersh para cargar la herramienta de explotación Lizar, obteniendo así un punto de apoyo en la red objetivo. El equipo de inteligencia de amenazas de Microsoft explicó: «Luego utilizan OpenSsh e Impacket para moverse lateralmente e implementar el ransomware CLOP».

1529221407110?E=2147483647&Amp;V=Beta&Amp;T=Zj0H8To Dvzatsc6775Rpim Zfnnd Jnzayfou2Uojy

FIN7, también conocido con los nombres de Carbanak, Elbrus e ITG14, ha estado vinculado con otras familias de ransomware como Black Basta, Darkside, Revil y Lockbit. El grupo ha actuado como precursor de ataques de ransomware de Maze y Ryuk.

El Historial y la Evolución de FIN7

Activo desde al menos 2012, el grupo ha dirigido sus ataques a una amplia variedad de organizaciones, incluyendo las dedicadas al software, consultoría, servicios financieros, equipos médicos, servicios en la nube, medios de comunicación, alimentos y bebidas, transporte y servicios públicos.

Prodaft Fin7 Victim Distribution

Una táctica notable en su modus operandi ha sido el establecimiento de compañías de seguridad falsas, como Combi Security y Bastion Secure, utilizadas para reclutar empleados para realizar ataques de ransomware y otras operaciones.

Nuevas Amenazas y Desarrollos Recientes

El mes pasado, IBM Security X-Force reveló que los miembros del ahora desaparecido grupo de ransomware Conti están utilizando un nuevo malware llamado Domino, desarrollado por el cartel del delito cibernético.

El uso de FIN7 de Powerrash para entregar Lizar (también conocido como Diceloader o Tirion) también fue destacado recientemente por WithSecure en relación con los ataques que explotan una vulnerabilidad de alta severidad en el software de copia de seguridad y replicación de Veeam (CVE-2023-27532) para obtener acceso inicial.

Ere2Zj8W8Ai1K8V

El último desarrollo demuestra la continua dependencia de FIN7 de varias familias de ransomware para dirigir a las víctimas, lo que representa un cambio en su estrategia de monetización al alejarse del robo de datos de tarjetas de pago hacia la extorsión.

La adopción de ransomware Cl0p por parte del grupo cibernético FIN7 indica un cambio en su estrategia de monetización, alejándose del robo de datos de tarjetas de pago y dirigiéndose hacia la extorsión. Este nuevo enfoque evidencia la adaptabilidad del grupo ante la cambiante ciberseguridad.

La implementación de las nuevas tácticas de FIN7, incluyendo el uso de compañías de seguridad falsas y la utilización del ransomware Cl0p, marca un paso significativo en su actividad cibernética desde 2021.

En resumen, la actividad del grupo cibernético FIN7 y su reciente implementación del ransomware Cl0p reflejan las continuas transformaciones en las tácticas de los actores de amenazas cibernéticas.

Los comentarios están cerrados.