Notórios hackers FIN7 retornam em ataques de ransomware Clop
22 de Maio de 2023

No mês passado, um grupo de cibercriminosos motivados financeiramente conhecido como FIN7 ressurgiu, com analistas de ameaças da Microsoft relacionando-o a ataques cujo objetivo final era a implantação de payloads de ransomware Clop nas redes das vítimas.

"O grupo de cibercriminosos motivados financeiramente Sangria Tempest (ELBRUS, FIN7) saiu de um longo período de inatividade", disse a empresa em uma série de tweets da conta do Twitter da Microsoft Security Intelligence.

"O grupo foi observado implantando o ransomware Clop em ataques oportunistas em abril de 2023, sua primeira campanha de ransomware desde o final de 2021."

Nesses ataques recentes, os atacantes do FIN7 utilizaram o POWERTRASH, um dropper de malware em memória baseado em PowerShell, para implantar a ferramenta de pós-exploração Lizar em dispositivos comprometidos.

Isso permitiu que os atores da ameaça ganhassem um ponto de apoio na rede visada e se movimentassem lateralmente para implantar o ransomware Clop usando o OpenSSH e o Impacket.

Essa ferramenta Python legítima também pode ser usada para a execução remota de serviços e ataques de relé.

De acordo com a Microsoft, o ransomware Clop é apenas a mais nova cepa usada pelo grupo de cibercriminosos para atacar vítimas.

O grupo já foi relacionado anteriormente aos ransomwares REvil e Maze antes de seu envolvimento nas operações de ransomware-as-a-service (Raas) agora extintas BlackMatter e DarkSide.

Desde que começou a operar há uma década, em 2013, o grupo de hackers motivados financeiramente FIN7 tem sido relacionado a ataques principalmente direcionados a bancos e terminais de ponto de venda (PoS) de empresas de vários setores da indústria (predominantemente restaurantes, jogos de azar e hospitalidade) na Europa e nos Estados Unidos.

O FBI alertou as empresas dos EUA sobre ataques de USB drive-by coordenados pelo FIN7, visando a indústria de defesa dos EUA com pacotes contendo dispositivos USB maliciosos projetados para implantar ransomware.

Os operadores do FIN7 também se passaram pela Best Buy em ataques semelhantes com unidades flash maliciosas via USPS para hotéis, restaurantes e empresas de varejo, pacotes que também incluíam ursinhos de pelúcia para enganar os alvos e baixar a guarda.

Embora alguns membros do FIN7 tenham sido presos ao longo dos anos, o grupo de hackers ainda está ativo e forte, como evidenciado por essa nova rodada de ataques relatados pela Microsoft.

Em abril de 2022, o "pen tester" do FIN7, Denys Iarmak, foi condenado a 5 anos de prisão por violações de rede e ataques de roubo de cartão de crédito que se estenderam por pelo menos dois anos.

Iarmak foi o terceiro membro do FIN7 condenado nos EUA depois que Andrii Kolpakov (outro "pen tester") foi enviado para a prisão por sete anos em junho de 2021, e Fedir Hladyr (um gerente de alto nível) recebeu uma sentença de dez anos em abril de 2021.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...