Μια ομάδα κυβερνοεγκληματικών εγκλημάτων με οικονομικά κίνητρα, γνωστή ως FIN7, επανεμφανίστηκε τον περασμένο μήνα, με τους αναλυτές απειλών της Microsoft να τη συνδέουν με επιθέσεις όπου ο τελικός στόχος ήταν η ανάπτυξη ωφέλιμων φορτίων ransomware Clop στα δίκτυα των θυμάτων.
“Η ομάδα κυβερνοεγκληματικών Sangria Tempest (ELBRUS, FIN7) με οικονομικά κίνητρα έχει βγει από μια μακρά περίοδο αδράνειας”, η εταιρεία είπε σε μια σειρά από tweets από τον λογαριασμό Twitter της Microsoft Security Intelligence.
“Η ομάδα παρατηρήθηκε να αναπτύσσει το Clop ransomware σε ευκαιριακές επιθέσεις τον Απρίλιο του 2023, την πρώτη της καμπάνια ransomware από τα τέλη του 2021.”
Σε αυτές τις πρόσφατες επιθέσεις, οι εισβολείς FIN7 χρησιμοποίησαν PowerShell-based POWERTRASH που βασίζεται σε PowerShell για να αναπτύξουν το εργαλείο μετά την εκμετάλλευση Lizar σε παραβιασμένες συσκευές.
Αυτό επέτρεψε στους παράγοντες της απειλής να αποκτήσουν βάση εντός του στοχευμένου δικτύου και να κινηθούν πλευρικά για να αναπτύξουν το Clop ransomware χρησιμοποιώντας το OpenSSH και το Impacket. Αυτή η νόμιμη εργαλειοθήκη Python μπορεί επίσης να χρησιμοποιηθεί για απομακρυσμένη εκτέλεση υπηρεσιών και επιθέσεις αναμετάδοσης.
Σύμφωνα με τη Microsoft, το Clop ransomware είναι απλώς το νεότερο στέλεχος που έχει χρησιμοποιήσει η συμμορία του εγκλήματος στον κυβερνοχώρο για να στοχεύσει θύματα.