Uma nova pesquisa da Mandiant revela que o grupo de hackers FIN7, com motivação financeira, evoluiu suas operações e está cada vez mais focado em ataques de ransomware que se acredita incluir MAZE, RYUK, DARKSIDE e ALPHV ransomware.
A Mandiant agora conseguiu vincular atividades anteriores de outros clusters de ameaças ao FIN7. Isso mostra que o FIN7 evoluiu para aumentar a velocidade de suas operações, expandir o escopo de seus alvos e possivelmente até mesmo expandir seus relacionamentos com outras operações de ransomware no submundo do cibercrime.
As descobertas mais importantes sobre o FIN7
- Desde 2020, um total de oito grupos de clientes anteriormente classificados como independentes foram fundidos no FIN7
Isso confirma a resiliência dos atores associados ao grupo de hackers. A Mandiant viu um aumento na atividade FIN2021 em cinco ondas de ataque desde abril de 7. - FIN7 comprometeu uma cadeia de suprimentos pela primeira vez
O grupo comprometeu um site que vende produtos digitais. Ela modificou vários links de download para apontar para um balde Amazon S3 hospedando versões trojanizadas contendo um instalador do agente Atera. Com isso, um novo backdoor chamado POWERPLANT pode ser configurado. - POWERPLANT oferece amplas possibilidades devido à sua estrutura
FIN7 usou POWERPLANT em todos os ataques observados em 2021. A pesquisa leva Mandiant a avaliar que FIN7 é provavelmente o único ator usando POWERPLANT. - PowerShell é a linguagem favorita do FIN7
A FIN7 desenvolveu o malware para suas campanhas de ataque em várias linguagens de programação diferentes. No entanto, há uma preferência particular por carregadores exclusivos baseados no PowerShell e comandos exclusivos do PowerShell.
Sobre clientes A Mandiant é uma líder reconhecida em defesa cibernética dinâmica, inteligência de ameaças e resposta a incidentes. Com décadas de experiência na linha de frente cibernética, a Mandiant ajuda as organizações a se defenderem com confiança e proatividade contra ameaças cibernéticas e a responderem a ataques. A Mandiant agora faz parte do Google Cloud.