Կիբերհանցագործությունների դեմ պայքարող հայտնի FIN7 խումբն ահազանգել է Cl0p (aka Clop) ransomware-ի տարածման և հարձակումների նոր արշավների մասին:
Microsoft-ը տվյալ կասկածելի գործողությունները հայտնաբերեց և դրանց մասին բարձրաձայնեց 2023 թվականի ապրիլին:
«Այս վերջին հարձակումների ժամանակ Sangria Tempest-ը կիրառել է PowerShell script POWERTRASH՝ Lizar գործիքը բեռնելու և այն թիրախային ցանցում տեղակայելու համար», – նշում է ընկերության փորձագետների թիմը: «Այնուհետև կիրառում է՝ OpenSSH-ը և Impacket-ը՝ Clop ransomware-ը համակարգերում բարեհաջող տեղակայելու համար»:
FIN7-ը (նույն՝ Carbanak-ը, ELBRUS-ն ու ITG14-ը) փոխկապակցված է ransomware-ների տարբեր ընտանիքներին, ինչպիսիք են՝ Black Basta-ն, DarkSide-ը, REvil-ը և LockBit-ը, ընդ որում հարձակման հետևում կանգնած հաքերը հանդես է գալիս որպես Maze-ի և Ryuk-ի ransomware-ների նախադրյալ:
FIN7-ի կողմից POWERTRASH-ի օգտագործումը Lizar-ի (DICELOADER կամ Tirion) փոխանցման նպատակով նկատվել է դեռևս մի քանի շաբաթ առաջ: Հարձակման ժամանակ հաքերները կիրառել են՝ Veeam Backup & Replication ծրագրակազմի (CVE-2023-27532) բարձր խոցելիությունը՝ դեպի համակարգ մուտք ստանալու համար:
Ինչպես ցույց են տալիս վերջին զարգացումները, FIN7-ը շարունակում է հույս դնել տարբեր ransomware-ների գործունեության վրա զոհերին հստակորեն թիրախավորելու համար: Հաքերները որպես մոնետիզացիայի ռազմավարության ընտրել են վճարային քարտերից դրամ կորզելու մոտեցումը:
Աղբյուրը՝ https://thehackernews.com/
