FIN7 Cybercrime Syndicate entwickelt sich zu einem wichtigen Darsteller in welcher Ransomware-Landschaft

Eine umfassende Prüfung von FIN7 hat die Organisationshierarchie des Cybercrime-Syndikats entlarvt und synchron seine Rolle qua Partner zum Besten von zunehmende Ransomware-Angriffe aufgedeckt.

Es hat gleichermaßen tiefere Verbindungen zwischen welcher Posten und dem größeren Bedrohungs-Wildnis aufgedeckt, dasjenige die inzwischen nicht mehr existierenden Ransomware-Familien DarkSide, REvil und LockBit umfasst.

Die hochaktive Bedrohungsgruppe, gleichermaßen veröffentlicht qua Carbanak, ist hierfür veröffentlicht, ein umfangreiches Waffen-Repertoire an Tools und Taktiken einzusetzen, um ihren „Skyline welcher Cyberkriminalität“ zu erweitern, einschließlich welcher Dokumentation von Ransomware in ihr Playbook und welcher Gründung gefälschter Sicherheitsunternehmen, um Forscher dazu zu verleiten, Ransomware-Angriffe durchzuführen den Deckmantel des Penetrationstests.

Mehr qua 8.147 Todesopfer wurden von dem pekuniär motivierten Gegner hinaus welcher ganzen Welt kompromittiert, wodurch sich die Mehrheit welcher Unternehmen in den USA befindet. Andere prominente Länder sind Volksrepublik China, Deutschland, Kanada, Italien und Großbritannien

Die Einbruchstechniken von FIN7 nach sich ziehen sich im Laufe welcher Jahre übrig dasjenige traditionelle Social Engineering hinaus weiter diversifiziert und zusammenfassen infizierte USB-Laufwerke, die Kompromittierung welcher Softwarelieferkette und die Verwendung gestohlener Zugangsdaten, die hinaus Untergrundmärkten gekauft wurden.

„Heutzutage besteht sein anfänglicher Arbeitsweise darin, hochwertige Unternehmen sorgfältig aus dem Schwimmbecken schon kompromittierter Unternehmenssysteme auszuwählen und sie zu zwingen, hohe Lösegelder zu zahlen, um ihre Information wiederherzustellen, oder einzigartige Wege zu suchen, um die Information und den Fernzugriff zu zu Geld machen“, sagte PRODAFT in a Lagebericht geteilt mit The Hacker News.

Nachdem Unterlagen des Schweizer Cybersicherheitsunternehmens wurden die Bedrohungsakteure gleichermaßen hiermit beobachtet, wie sie Fehler in Microsoft Exchange wie CVE-2020-0688, CVE-2021-42321, ProxyLogon und ProxyShell-Fehler in Microsoft Exchange Server zu Waffen machten, um in Zielumgebungen Käsemauke zu fassen .

Ungeachtet welcher Programm doppelter Erpressungstaktiken nach sich ziehen die von welcher Posten durchgeführten Angriffe Hintertüren hinaus den kompromittierten Systemen eingesetzt, selbst in Szenarien, in denen dasjenige Todesopfer schon ein Lösegeld gezahlt hat.

Die Idee ist, den Zugang zu anderen Ransomware-Outfits weiterzuverkaufen und die Todesopfer im Rahmen seines illegalen Geldverdienens erneut anzugreifen, welches seine Versuche unterstreicht, den Kapitalaufwand zu minimieren und die Gewinne zu maximieren, ganz zu sich bedeckt halten von welcher Priorisierung von Unternehmen hinaus welcher Grundlage ihrer jährlichen Einnahmen, Gründungsdaten, und die Menge welcher Mitwirkender.

Dies „zeigt eine bestimmte Klasse von Machbarkeitsstudie, die qua einzigartiges Verhalten unter Cyberkriminalitätsgruppen gilt“, sagten die Forscher.

Verschieden ausgedrückt läuft die Vorgehensweise von FIN7 hinaus Folgendes hinaus: Es nutzt Dienste wie Dun & Bradstreet (DNB), Crunchbase, Owler und Zoominfo, um Firmen und Organisationen mit den höchsten Einnahmen in die engere Wahl zu ziehen. Es verwendet gleichermaßen andere Website-Analyseplattformen wie MuStat und Similarweb, um den Datenverkehr zu den Websites welcher Todesopfer zu beaufsichtigen.

Dieser erste Zugriff erfolgt dann übrig verdongeln welcher vielen Angriffsvektoren, gefolgt von welcher Exfiltration von Information, welcher Verschlüsselung von Dateien und schließlich welcher Klausel des Lösegeldbetrags basierend hinaus den Einnahmen des Unternehmens.

Ebendiese Infektionssequenzen sind gleichermaßen darauf ausgelegt, Fernzugriffstrojaner wie Carbanak, Lizar (alias Tirion) und IceBot zu laden, wodurch letzterer erstmals im Januar 2022 von Gemini Advisory im Vermögen von Recorded Future dokumentiert wurde.

Andere von FIN7 entwickelte Tools zusammenfassen Module zur Automatisierung von Scans zum Besten von anfällige Microsoft Exchange-Server und andere publik zugängliche Webanwendungen sowie Cobalt Strike zum Besten von die Nachnutzung.

Ein weiterer Rauchzeichen darauf, dass kriminelle Gruppen wie traditionelle Unternehmen laufen, folgt FIN7 einer Teamstruktur, die aus Top-Level-Management, Entwicklern, Pentestern, verbundenen Unternehmen und Marketingteams besteht, die jeweils mit individuellen Verantwortlichkeiten betraut sind.

Während zwei Mitglieder namens Alex und Rash die Hauptakteure hinter welcher Operation sind, ist ein drittes Führungsmitglied namens Sergey-Oleg hierfür zuständig, Aufgaben an die anderen Mitwirkender welcher Posten zu delegieren und deren Exekution zu beaufsichtigen.

Es wurde jedoch gleichermaßen beobachtet, dass Mitwirkender in Administratorpositionen Zwang und Erpressung anwenden, um Teammitglieder einzuschüchtern, damit sie mehr funktionieren, und Ultimaten stellen, um „ihre Familienmitglieder zu verletzen, wenn sie zurücktreten oder sich ihrer Verantwortung entziehen“.

Die Ergebnisse kommen mehr qua verdongeln Monat, nachdem dasjenige Cybersicherheitsunternehmen SentinelOne potenzielle Verbindungen zwischen FIN7 und welcher Ransomware-Operation Black Basta identifiziert hat.

„FIN7 hat sich qua einzigartig vielseitige und bekannte APT-Posten etabliert, die hinaus Großunternehmen abzielt“, schloss PRODAFT.

„Ihr Markenzeichen ist es, die Unternehmen hinaus welcher Grundlage ihrer Einnahmen, Mitarbeiterzahlen, Hauptsitze und Website-Informationen gründlich zu untersuchen, um die profitabelsten Ziele zu ermitteln. Obwohl sie interne Probleme im Zusammenhang mit welcher ungleichen Verteilung welcher erhaltenen Geldmittel und irgendetwas fragwürdigen Praktiken im Unterschied zu ihren Mitgliedern nach sich ziehen nach sich ziehen sie es geschafft, eine starke Präsenz im Gültigkeitsbereich welcher Cyberkriminalität aufzubauen.”