Una nueva investigación de Mandiant revela que el grupo de piratería con motivación financiera FIN7 ha evolucionado sus operaciones y se está enfocando cada vez más en los ataques de ransomware que se cree que incluyen ransomware MAZE, RYUK, DARKSIDE y ALPHV.
Mandiant ahora ha podido vincular actividades anteriores de otros grupos de amenazas a FIN7. Estos muestran que FIN7 ha evolucionado para aumentar la velocidad de sus operaciones, expandir el alcance de sus objetivos y posiblemente incluso expandir sus relaciones con otras operaciones de ransomware en el mundo ciberdelincuente.
Los hallazgos más importantes sobre FIN7
- Desde 2020, un total de ocho grupos de clientes previamente clasificados como independientes se han fusionado en FIN7
Esto confirma la resiliencia de los actores asociados con el grupo de hackers. Mandiant ha visto un aumento en la actividad de FIN2021 en cinco oleadas de ataques desde abril de 7. - FIN7 comprometió una cadena de suministro por primera vez
El grupo comprometió un sitio web que vende productos digitales. Modificó varios enlaces de descarga para que apuntaran a un depósito de Amazon S3 que albergaba versiones troyanizadas que contenían un instalador del agente Atera. Con esto, se podría configurar una nueva puerta trasera llamada POWERPLANT. - POWERPLANT ofrece amplias posibilidades debido a su estructura
FIN7 usó POWERPLANT en todos los ataques observados en 2021. La investigación lleva a Mandiant a evaluar que FIN7 es probablemente el único actor que usa POWERPLANT. - PowerShell es el lenguaje favorito de FIN7
FIN7 desarrolló el malware para sus campañas de ataque en muchos lenguajes de programación diferentes. Sin embargo, existe una preferencia particular por los cargadores exclusivos basados en PowerShell y los comandos exclusivos de PowerShell.
Sobre el cliente Mandiant es un líder reconocido en defensa cibernética dinámica, inteligencia de amenazas y respuesta a incidentes. Con décadas de experiencia en la primera línea cibernética, Mandiant ayuda a las organizaciones a defenderse de manera segura y proactiva contra las amenazas cibernéticas y responder a los ataques. Mandiant ahora es parte de Google Cloud.