
The Hacker News
The Hacker News
Cyberthreat.id - Kelompok penjahat siber terkenal, FIN7, telah diamati menyebarkan ransomware Cl0p (alias Clop), menandai kampanye ransomware pertama aktor ancaman sejak akhir 2021. Microsoft, yang mendeteksi aktivitas tersebut pada April 2023, melacak aktor yang termotivasi secara finansial di bawah taksonomi baru Sangria Tempest.
"Dalam serangan baru-baru ini, Sangria Tempest menggunakan skrip PowerShell POWERTRASH untuk memuat alat pasca-eksploitasi Lizar dan mendapatkan pijakan ke dalam jaringan target," kata tim intelijen ancaman perusahaan kepada The Hacker News. "Mereka kemudian menggunakan OpenSSH dan Impacket untuk bergerak secara lateral dan menyebarkan ransomware Clop."
The Hacker News melaporkan bahwa FIN7 (alias Carbanak, ELBRUS, dan ITG14) telah dikaitkan dengan keluarga ransomware lain seperti Black Basta, DarkSide, REvil, dan LockBit, dengan aktor ancaman bertindak sebagai pendahulu serangan ransomware Maze dan Ryuk.
Aktif setidaknya sejak 2012, grup ini memiliki rekam jejak dalam menargetkan berbagai organisasi yang mencakup perangkat lunak, konsultasi, layanan keuangan, peralatan medis, layanan cloud, media, makanan dan minuman, transportasi, dan utilitas.
Taktik penting lainnya dalam pedomannya adalah pola mendirikan perusahaan keamanan palsu – Combi Security dan Bastion Secure – untuk merekrut karyawan untuk melakukan serangan ransomware dan operasi lainnya.
Bulan lalu, IBM Security X-Force mengungkapkan bahwa anggota geng ransomware Conti yang sekarang sudah tidak berfungsi menggunakan malware baru bernama Domino yang dikembangkan oleh kartel kejahatan dunia maya.
Penggunaan POWERTRASH oleh FIN7 untuk mengirimkan Lizar (alias DICELOADER atau Tirion) juga disorot oleh WithSecure beberapa minggu yang lalu sehubungan dengan serangan yang mengeksploitasi kelemahan tingkat tinggi dalam perangkat lunak Pencadangan & Replikasi Veeam (CVE-2023-27532) untuk mendapatkan akses awal.
Perkembangan terbaru menandakan FIN7 terus mengandalkan berbagai keluarga ransomware untuk menargetkan korban sebagai bagian dari perubahan strategi monetisasi dengan beralih dari pencurian data kartu pembayaran ke pemerasan.[]
Share: