IND | ENG
FIN7 Luncurkan Ramsomware Baru: Sangria Tempest

The Hacker News

FIN7 Luncurkan Ramsomware Baru: Sangria Tempest
Nemo Ikram Diposting : Senin, 22 Mei 2023 - 16:20 WIB

Cyberthreat.id - Kelompok penjahat siber terkenal, FIN7, telah diamati menyebarkan ransomware Cl0p (alias Clop), menandai kampanye ransomware pertama aktor ancaman sejak akhir 2021. Microsoft, yang mendeteksi aktivitas tersebut pada April 2023, melacak aktor yang termotivasi secara finansial di bawah taksonomi baru Sangria Tempest.

"Dalam serangan baru-baru ini, Sangria Tempest menggunakan skrip PowerShell POWERTRASH untuk memuat alat pasca-eksploitasi Lizar dan mendapatkan pijakan ke dalam jaringan target," kata tim intelijen ancaman perusahaan kepada The Hacker News. "Mereka kemudian menggunakan OpenSSH dan Impacket untuk bergerak secara lateral dan menyebarkan ransomware Clop."

The Hacker News melaporkan bahwa FIN7 (alias Carbanak, ELBRUS, dan ITG14) telah dikaitkan dengan keluarga ransomware lain seperti Black Basta, DarkSide, REvil, dan LockBit, dengan aktor ancaman bertindak sebagai pendahulu serangan ransomware Maze dan Ryuk.

Aktif setidaknya sejak 2012, grup ini memiliki rekam jejak dalam menargetkan berbagai organisasi yang mencakup perangkat lunak, konsultasi, layanan keuangan, peralatan medis, layanan cloud, media, makanan dan minuman, transportasi, dan utilitas.

Taktik penting lainnya dalam pedomannya adalah pola mendirikan perusahaan keamanan palsu – Combi Security dan Bastion Secure – untuk merekrut karyawan untuk melakukan serangan ransomware dan operasi lainnya.

Bulan lalu, IBM Security X-Force mengungkapkan bahwa anggota geng ransomware Conti yang sekarang sudah tidak berfungsi menggunakan malware baru bernama Domino yang dikembangkan oleh kartel kejahatan dunia maya.

Penggunaan POWERTRASH oleh FIN7 untuk mengirimkan Lizar (alias DICELOADER atau Tirion) juga disorot oleh WithSecure beberapa minggu yang lalu sehubungan dengan serangan yang mengeksploitasi kelemahan tingkat tinggi dalam perangkat lunak Pencadangan & Replikasi Veeam (CVE-2023-27532) untuk mendapatkan akses awal.

Perkembangan terbaru menandakan FIN7 terus mengandalkan berbagai keluarga ransomware untuk menargetkan korban sebagai bagian dari perubahan strategi monetisasi dengan beralih dari pencurian data kartu pembayaran ke pemerasan.[]

#ransomware   #ryuk   #hacker

Share:




BACA JUGA
Microsoft Ungkap Aktivitas Peretas Rusia Midnight Blizzard
Phobos Ransomware Agresif Targetkan Infrastruktur Kritis AS
Penjahat Siber Persenjatai Alat SSH-Snake Sumber Terbuka untuk Serangan Jaringan
Peretas China Beroperasi Tanpa Terdeteksi di Infrastruktur Kritis AS selama Setengah Dekade
Google Cloud Mengatasi Kelemahan Eskalasi Hak Istimewa yang Berdampak pada Layanan Kubernetes