FIN7 olarak bilinen, finansal olarak motive olmuş bir siber suç grubu geçen ay yeniden ortaya çıktı ve Microsoft tehdit analistleri bunu, nihai hedefin kurbanların ağlarında Clop fidye yazılımı yüklerinin konuşlandırılması olduğu saldırılarla ilişkilendirdi.
Şirket, “Finansal amaçlarla hareket eden siber suç grubu Sangria Tempest (ELBRUS, FIN7) uzun bir hareketsizlikten çıktı” dedi. söz konusu Microsoft Security Intelligence Twitter hesabından bir dizi tweet’te.
“Grubun, 2021’in sonlarından bu yana ilk fidye yazılımı kampanyası olan Nisan 2023’te fırsatçı saldırılarda Clop fidye yazılımını konuşlandırdığı gözlemlendi.”
Bu son saldırılarda FIN7 saldırganları, güvenliği ihlal edilmiş cihazlara Lizar istismar sonrası aracını dağıtmak için PowerShell tabanlı POWERTRASH bellek içi kötü amaçlı yazılım düşürücüyü kullandı.
Bu, tehdit aktörlerinin hedeflenen ağ içinde bir yer edinmesine ve OpenSSH ve Impacket kullanarak Clop fidye yazılımını dağıtmak için yatay olarak hareket etmesine izin verdi. Bu meşru Python araç seti, uzaktan hizmet yürütme ve geçiş saldırıları için de kullanılabilir.
Microsoft’a göre Clop fidye yazılımı, siber suç çetesinin kurbanları hedef almak için kullandığı en yeni tür.
Grup, artık feshedilmiş olan BlackMatter ve DarkSide hizmet olarak fidye yazılımı (Raas) operasyonlarına katılmadan önce REvil ve Maze fidye yazılımıyla bağlantılıydı.
FIN7 tutuklamaları, oyuncak ayılar ve fidye yazılımı
On yıl önce, 2013’te faaliyete başladığından beri, FIN7 mali güdümlü bilgisayar korsanlığı grubu, esas olarak bankaları ve çeşitli sektörlerden (ağırlıklı olarak restoranlar, kumar ve misafirperverlik) Avrupa ve Amerika Birleşik Devletleri’nde.
FBI, ABD şirketlerini FIN7 tarafından koordine edilen ve fidye yazılımı dağıtmak için tasarlanmış kötü amaçlı USB cihazları içeren paketlerle ABD savunma endüstrisini hedef alan USB saldırılarına karşı uyardı.
FIN7 operatörleri, USPS aracılığıyla otellere, restoranlara ve perakende işletmelerine yönelik kötü amaçlı flash sürücülerle benzer saldırılarda Best Buy’ı taklit etti; bu paketler, aynı zamanda, hedefleri gardlarını düşürmeleri için kandırmak için oyuncak ayıları bir araya getirdi.
Yıllar boyunca bazı FIN7 üyeleri tutuklanmış olsa da, Microsoft tarafından bildirilen bu yeni saldırı turunun kanıtladığı gibi, bilgisayar korsanlığı grubu hala aktif ve güçlü.
Nisan 2022’de FIN7 “kalem testçisi” Denys Iarmak, en az iki yılı kapsayan ağ ihlalleri ve kredi kartı hırsızlığı saldırılarından 5 yıl hapis cezasına çarptırıldı.
Iarmak, Andrii Kolpakov’un (başka bir “kalem testçisi”) Haziran 2021’de yedi yıl hapis cezasına çarptırılmasının ve Nisan 2021’de Fedir Hladyr’in (üst düzey bir yönetici) on yıl hapis cezası almasının ardından ABD’de mahkum edilen üçüncü FIN7 üyesi oldu.