FIN7 olarak bilinen kötü şöhretli siber suç grubunun Cl0p (aka Clop) fidye yazılımını dağıttığı gözlemlendi ve bu, tehdit aktörünün 2021’in sonlarından bu yana ilk fidye yazılımı kampanyasını işaret ediyor.
Etkinliği Nisan 2023’te tespit eden Microsoft, yeni taksonomisi altında mali amaçlı aktörün izini sürüyor Sangria Fırtınası.
Şirketin tehdit istihbarat ekibi, “Bu son saldırılarda, Sangria Tempest, Lizar’ın istismar sonrası aracını yüklemek ve bir hedef ağa tutunmak için PowerShell betiği POWERTRASH’ı kullanıyor.” söz konusu. “Daha sonra yanal olarak hareket etmek ve Clop fidye yazılımını dağıtmak için OpenSSH ve Impacket kullanıyorlar.”
FIN7 (diğer adıyla Carbanak, ELBRUS ve ITG14), tehdit aktörü Maze ve Ryuk fidye yazılımı saldırılarının habercisi olarak hareket ederek Black Basta, DarkSide, REvil ve LockBit gibi diğer fidye yazılımı aileleriyle ilişkilendirilmiştir.
En az 2012’den beri aktif olan grup, yazılım, danışmanlık, finansal hizmetler, tıbbi ekipman, bulut hizmetleri, medya, yiyecek ve içecek, ulaşım ve kamu hizmetlerini kapsayan geniş bir kuruluş yelpazesini hedefleme konusunda bir geçmişe sahiptir.
Oyun kitabındaki bir başka dikkate değer taktik, fidye yazılımı saldırıları ve diğer operasyonları yürütmek için çalışanları işe almak için sahte güvenlik şirketleri – Combi Security ve Bastion Secure – kurma modelidir.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Geçen ay, IBM Security X-Force, artık feshedilmiş olan Conti fidye yazılımı çetesinin üyelerinin, siber suç karteli tarafından geliştirilen Domino adlı yeni bir kötü amaçlı yazılım kullandığını ortaya çıkardı.
FIN7’nin Lizar’ı (namı diğer DICELOADER veya Tirion) teslim etmek için POWERTRASH kullanması da birkaç hafta önce WithSecure tarafından, ilk erişimi elde etmek için Veeam Backup & Replication yazılımındaki (CVE-2023-27532) yüksek öneme sahip bir kusurdan yararlanan saldırılarla bağlantılı olarak vurgulandı.
En son gelişme, FIN7’nin ödeme kartı veri hırsızlığından haraç almaya dönerek para kazanma stratejisindeki değişikliğin bir parçası olarak kurbanları hedef almak için çeşitli fidye yazılımı ailelerine güvenmeye devam ettiğini gösteriyor.