Нове дослідження Mandiant показує, що фінансово мотивована хакерська група FIN7 розвинула свою діяльність і все більше зосереджується на атаках програм-вимагачів, які, як вважають, включають програми-вимагачі MAZE, RYUK, DARKSIDE і ALPHV.
Тепер Mandiant зміг зв’язати попередні дії інших кластерів загроз з FIN7. Вони показують, що FIN7 розвивався, щоб збільшити швидкість своїх операцій, розширити коло своїх цілей і, можливо, навіть розширити свої відносини з іншими операціями програм-вимагачів у підпіллі кіберзлочинців.
Найважливіші висновки щодо FIN7
- З 2020 року загалом вісім груп клієнтів, які раніше класифікувалися як незалежні, були об’єднані у FIN7
Це підтверджує стійкість акторів, пов’язаних із хакерською групою. З квітня 2021 року Mandiant спостерігав збільшення активності FIN7 протягом п’яти хвиль атак. - FIN7 вперше зламав ланцюг поставок
Група скомпрометувала веб-сайт, який продає цифрові товари. Вона змінила кілька посилань для завантаження, щоб вказати на сегмент Amazon S3, де розміщено троянські версії, що містять інсталятор агента Atera. Завдяки цьому можна створити новий бекдор під назвою POWERPLANT. - POWERPLANT пропонує широкі можливості завдяки своїй структурі
FIN7 використовував POWERPLANT у всіх спостережуваних атаках у 2021 році. Дослідження приводить до висновку Mandiant, що FIN7, ймовірно, єдиний учасник, який використовує POWERPLANT. - PowerShell — улюблена мова FIN7
FIN7 розробили зловмисне програмне забезпечення для своїх атак на багатьох різних мовах програмування. Однак є особлива перевага ексклюзивним завантажувачам на основі PowerShell і унікальним командам PowerShell.
Про клієнта Mandiant є визнаним лідером у сфері динамічного кіберзахисту, аналізу загроз та реагування на інциденти. Маючи десятиліття досвіду на кіберфронтовій лінії, Mandiant допомагає організаціям впевнено та проактивно захищатися від кіберзагроз і реагувати на атаки. Тепер Mandiant є частиною Google Cloud.