Hackergruppe FIN7 – weiterhin schwer zu fassen

Beitrag teilen

Neue Recherchen von Mandiant zeigen, dass die finanziell motivierte Hackergruppe FIN7 ihre Operationen weiterentwickelt hat und sich zunehmend auf Ransomware-Angriffe fokussiert, die vermutlich MAZE-, RYUK-, DARKSIDE- und ALPHV-Ransomware beinhalten.

Mandiant hat nun frühere Aktivitäten anderer Bedrohungscluster mit FIN7 in Verbindung bringen können. Diese zeigen, dass FIN7 sich weiterentwickelt hat, um die Geschwindigkeit ihrer Operationen zu erhöhen, den Umfang ihrer Ziele zu erweitern und möglicherweise sogar ihre Beziehungen zu anderen Ransomware-Operationen im cyberkriminellen Untergrund auszubauen.

Anzeige

Die wichtigsten Erkenntnisse zu FIN7

  • Seit 2020 wurden insgesamt acht zuvor als eigenständig eingestufte Gruppen von Mandiant zu FIN7 zusammengeführt
    Dies bestätigt die Widerstandsfähigkeit der mit der Hackergruppe assoziierten Akteure. Mandiant hat seit April 2021 über fünf Angriffswellen hinweg einen Anstieg der Aktivitäten von FIN7 festgestellt.
  • FIN7 kompromittierte erstmals eine Lieferkette
    Die Gruppe kompromittierte eine Website, die digitale Produkte verkauft. Sie modifizierte mehrere Download-Links, um auf einen Amazon S3-Bucket zu verweisen, in dem trojanisierte Versionen gehostet wurden, die einen Atera-Agent-Installer enthielten. Mit diesem konnte eine neue Backdoor namens POWERPLANT eingerichtet werden.
  • POWERPLANT bietet aufgrund seines Rahmenwerks umfangreiche Möglichkeiten
    FIN7 verwendete POWERPLANT bei allen beobachteten Angriffen im Jahr 2021. Die Recherchen veranlassen Mandiant zu der Einschätzung, dass FIN7 wahrscheinlich der einzige Akteur ist, der POWERPLANT verwendet.
  • PowerShell ist die Lieblings-Sprache von FIN7
    FIN7 hat die Malware für ihre Angriffskampagnen in vielen verschiedenen Programmiersprachen entwickelt. Eine besondere Vorliebe besteht aber erkennbar für exklusive PowerShell-basierte Loader und einzigartige PowerShell-Befehle.
Mehr bei Mandiant.com

 


Über Mandiant

Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.


 

Passende Artikel zum Thema

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen

Bedrohungserkennung mit Sigma-Regeln

Open-Source-Projekte sind unverzichtbar für die Weiterentwicklung der Softwarelandschaft. Sie ermöglichen es einer globalen Community von Entwicklern und Cybersicherheitsexperten, Wissen auszutauschen, ➡ Weiterlesen

BSI: Brute-Force-Angriffe gegen Citrix Netscaler Gateways

Aktuell werden dem BSI verstärkt Brute-Force-Angriffe gegen Citrix Netscaler Gateways aus verschiedenen KRITIS-Sektoren sowie von internationalen Partnern gemeldet. Die aktuellen ➡ Weiterlesen

Zero-Trust-Segmentation gegen Ransomware

Ein Anbieter kündigt mit Zero-Trust-Segmentation die erste Lösung für Zero-Trust-Segmentierung an, die eine sichere, agile und kostengünstige Möglichkeit bietet, User, ➡ Weiterlesen