La banda criminale informatica FIN7 è emersa di nuovo il mese scorso, secondo gli analisti di Microsoft. Sono stati collegati ad attacchi in cui l’obiettivo finale era l’implementazione del ransomware Clop sulle reti delle vittime. Questi attacchi sono stati descritti come opportunistici e sono stati osservati in aprile 2023, rappresentando la prima campagna ransomware del gruppo dopo la fine del 2021.
Per distribuire il ransomware Clop, FIN7 ha utilizzato un dropper di malware in-memory chiamato POWERTRASH, basato su PowerShell, per inserire lo strumento di post-sfruttamento Lizar sui dispositivi compromessi. Questo ha permesso agli hacker di infiltrarsi nella rete target e di muoversi lateralmente per distribuire il ransomware Clop utilizzando strumenti come OpenSSH e Impacket. È importante notare che queste sono solo alcune delle tecniche utilizzate dalla banda, e il ransomware Clop rappresenta solo uno dei ceppi di malware che hanno impiegato in passato.
Strumenti FIN7 utilizzati negli attacchi PaperCut
Microsoft ha rilevato anche che FIN7 è stato collegato ad attacchi mirati ai server di stampa PaperCut, utilizzando vari ransomware come Clop, Bl00dy e LockBit. Inoltre, FIN7 è stato associato a un altro gruppo criminale chiamato FIN11, mentre Lace Tempest ha impiegato nuovi strumenti, tra cui uno script PowerShell chiamato inv.ps1, che Microsoft ha collegato a FIN7. Ciò potrebbe indicare una possibile collaborazione o condivisione di strumenti tra i due gruppi.
Arresti, orsacchiotti e ransomware
Da quando ha iniziato a operare dieci anni fa, nel 2013, il gruppo di hacking a sfondo finanziario FIN7 è stato collegato ad attacchi mirati principalmente a banche e terminali POS di aziende di vari settori industriali (prevalentemente ristoranti, giochi d’azzardo e hospitality) in Europa e negli Stati Uniti.
L’FBI ha avvertito le aziende statunitensi dell’imminenza di attacchi drive-by USB coordinati da FIN7, mirati all’industria della difesa con l’uso di pacchetti contenenti dispositivi USB dannosi progettati per diffondere ransomware. Gli operatori di FIN7 hanno anche impersonato Best Buy in attacchi simili, inviando pacchetti dannosi tramite USPS (United States Postal Service) ad hotel, ristoranti e attività commerciali.
Sebbene siano stati arrestati alcuni membri di FIN7 nel corso degli anni, il gruppo di hacker è ancora attivo e continua a rappresentare una minaccia significativa, come dimostrato da questa nuova serie di attacchi riportata da Microsoft. Nel 2022, Denys Iarmak, un “pen tester” di FIN7, è stato condannato a 5 anni di carcere per violazioni della rete e attacchi di furto di carte di credito che avevano una durata di almeno due anni. Iarmak è il terzo membro di FIN7 a essere condannato negli Stati Uniti, dopo che Andrii Kolpakov, un altro “pen tester”, è stato condannato a sette anni di prigione nel giugno 2021 e Fedir Hladyr, un manager di alto livello, ha ricevuto una condanna di dieci anni nell’aprile 2021.
Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.
Una Padawan Etichal pronta a difendere l’anello più debole della catena…
Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.
Tre caratteristiche che la distinguono:
La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna
Colore preferito? Verde, ovviamente!