Microsoft

FIN7 として知られる金銭目的のサイバー犯罪グループが先月再浮上し、マイクロソフトの脅威アナリストはこのグループを、最終目標が被害者のネットワークへの Clop ランサムウェア ペイロードの展開である攻撃と関連付けています。

同社は、Microsoft Security Intelligence Twitter アカウントからの一連のツイートで、「金銭目的のサイバー犯罪グループ Sangria Tempest (ELBRUS、FIN7) が、長期間の活動停止から復活した」 と述べた

「このグループは、2023 年 4 月に日和見攻撃で Clop ランサムウェアを展開していることが観察されており、2021 年後半以来初めてのランサムウェア キャンペーンとなりました。」

これらの最近の攻撃では、FIN7 攻撃者は PowerShell ベースの POWERTRASH インメモリ マルウェア ドロッパーを利用して、侵害されたデバイスに Lizar エクスプロイト後ツールを展開しました。

これにより、攻撃者は標的のネットワーク内に足場を築き、OpenSSH と Impacket を使用して Clop ランサムウェアを展開するために水平方向に移動することが可能になりました。この正規の Python ツールキットは、リモート サービスの実行やリレー攻撃にも使用できます。

Microsoft によると、Clop ランサムウェアは、サイバー犯罪組織が被害者をターゲットにするために使用した最新の亜種にすぎません。

このグループは、現在は廃止されている BlackMatter および DarkSide のサービスとしてのランサムウェア (Raas) 作戦に関与する前に、REvil および Maze ランサムウェアとの関連性が指摘されていました。

FIN7 逮捕、テディベア、ランサムウェア

10 年前の 2013 年に活動を開始して以来、 FIN7 の金銭目的のハッキング グループは、主に銀行や、さまざまな業界部門 (主にレストラン、ギャンブル、金融など) の企業の販売時点情報管理 (PoS) 端末を標的とした攻撃に関連しています。ホスピタリティ)ヨーロッパと米国で。

FBIは、 ランサムウェアを展開するように設計された悪意のあるUSBデバイスを含むパッケージで米国の防衛産業を標的とする、FIN7が調整したUSBドライブバイ攻撃について米国企業に警告した。

FIN7 オペレーターはまた、Best Buy になりすまして、 USPS 経由でホテル、レストラン、小売店に悪意のあるフラッシュ ドライブを使用した同様の攻撃を行っています。パッケージにはテディベアも同梱されており、ターゲットをだまして警戒心を緩めさせています。

FIN7 メンバーの中には何年にもわたって逮捕されている人もいますが、Microsoft が報告したこの新たな攻撃が証明しているように、このハッカー グループは依然として活動しており、強力な勢いを保っています。

2022年4月、FIN7の「ペンテスター」デニス・イアルマックは、少なくとも2年にわたるネットワーク侵害とクレジットカード盗難攻撃の罪で懲役5年の判決を受けた

イアルマク氏は、アンドリー・コルパコフ氏(もう一人の「侵入検査者」) が2021年6月に懲役7年、フェディル・フラディル氏(高級マネージャー)が2021年4月に懲役10年に続いて、米国で判決を受けた3人目のFIN7メンバーとなった。