मैंडिएंट के नए शोध से पता चलता है कि आर्थिक रूप से प्रेरित हैकिंग समूह FIN7 ने अपने संचालन को विकसित किया है और तेजी से रैंसमवेयर हमलों पर ध्यान केंद्रित कर रहा है, जिसमें माना जाता है कि इसमें MAZE, RYUK, DARKSIDE और ALPHV रैंसमवेयर शामिल हैं।
मैंडिएंट अब अन्य खतरे समूहों द्वारा पिछली गतिविधियों को FIN7 से जोड़ने में सक्षम हो गया है। ये दिखाते हैं कि FIN7 अपने संचालन की गति को बढ़ाने के लिए विकसित हुआ है, अपने लक्ष्यों के दायरे को व्यापक बनाता है, और संभवतः साइबर अपराधी भूमिगत में अन्य रैंसमवेयर संचालन के साथ अपने संबंधों का विस्तार भी करता है।
FIN7 पर सबसे महत्वपूर्ण निष्कर्ष
- 2020 के बाद से, पहले से स्वतंत्र के रूप में वर्गीकृत कुल आठ ग्राहक समूहों को FIN7 में मिला दिया गया है
यह हैकिंग समूह से जुड़े अभिनेताओं के लचीलेपन की पुष्टि करता है। अप्रैल 2021 के बाद से मैंडिएंट ने पांच हमले तरंगों में FIN7 गतिविधि में वृद्धि देखी है। - FIN7 ने पहली बार आपूर्ति श्रृंखला से समझौता किया
समूह ने डिजिटल उत्पाद बेचने वाली एक वेबसाइट से समझौता किया। उसने एक Amazon S3 बकेट को इंगित करने के लिए कई डाउनलोड लिंक को संशोधित किया, जिसमें Atera एजेंट इंस्टॉलर वाले ट्रोजनाइज़्ड संस्करण थे। इसके साथ, पावरप्लांट नामक एक नया बैकडोर स्थापित किया जा सकता है। - पॉवरप्लांट अपने ढांचे के कारण व्यापक संभावनाएं प्रदान करता है
FIN7 ने 2021 में देखे गए सभी हमलों में POWERPLANT का उपयोग किया। अनुसंधान ने Mandiant को यह आकलन करने के लिए प्रेरित किया कि FIN7 संभवतः POWERPLANT का उपयोग करने वाला एकमात्र अभिनेता है। - PowerShell FIN7 की पसंदीदा भाषा है
FIN7 ने कई अलग-अलग प्रोग्रामिंग भाषाओं में अपने आक्रमण अभियानों के लिए मैलवेयर विकसित किया। हालाँकि, अनन्य PowerShell-आधारित लोडर और अद्वितीय PowerShell कमांड के लिए एक विशेष प्राथमिकता है।
ग्राहक के बारे में मैंडिएंट गतिशील साइबर रक्षा, खतरे की खुफिया जानकारी और घटना की प्रतिक्रिया में एक मान्यता प्राप्त नेता है। साइबर फ्रंटलाइन पर दशकों के अनुभव के साथ, Mandiant संगठनों को आत्मविश्वास से और सक्रिय रूप से साइबर खतरों से बचाव करने और हमलों का जवाब देने में मदद करता है। मैंडियंट अब Google क्लाउड का हिस्सा है।