Un conjunto de ciberdelincuentes con motivaciones financieras, conocido como FIN7, reapareció el mes pasado. Los expertos en Threat Intelligence de Microsoft han asociado a este grupo con algunos ataques cuyo objetivo final consistía en implementar payloads del ransomware Clop en las redes corporativas de sus víctimas.
“El grupo ciberdelincuente motivado financieramente Sangria Tempest (ELBRUS, FIN7) ha salido de un largo período de inactividad”, dijo la compañía en una serie de tuits de la cuenta de Twitter de Microsoft Security Intelligence.
Clop is the latest ransomware strain that Sangria Tempest has been observed deploying over the years. The group previously deployed REvil and Maze before managing the now-retired DarkSide and BlackMatter ransomware operations.
— Microsoft Threat Intelligence (@MsftSecIntel) May 18, 2023
«Clop es la última variedad de ransomware que se ha observado que Sangria Tempest implementa a lo largo de los años. El grupo implementó previamente REvil y Maze antes de administrar las operaciones de ransomware DarkSide y BlackMatter ahora retiradas.» Dice el tweet publicado por el equipo de Threat Intelligence de Microsoft.
En estos ataques recientes, los miembros de FIN7 utilizaron el cuentagotas de malware en memoria POWERTRASH, basado en PowerShell, para implementar la herramienta de explotación posterior, Lizar, en dispositivos comprometidos.
Esto permitió a los actores de amenazas afianzarse dentro de la red y moverse lateralmente para implementar el ransomware Clop, utilizando OpenSSH e Impacket. Este kit de herramientas legítimos de Python también se puede utilizar para la ejecución de servicios remotos y ataques de retransmisión.
Según Microsoft, Clop es solo una de las diversas banda de ciberdelincuentes que ha utilizado como organización para atacar a las víctimas. El grupo ha estado previamente vinculado a REvil y Maze ransomware, antes de su participación en las ahora desaparecidas operaciones BlackMatter y DarkSide.
Desde que comenzó a operar hace una década, en 2013, el grupo FIN7 ha estado vinculado a ataques dirigidos a los principalmente a bancos y terminales de punto de venta (PoS) de empresas de diversos sectores industriales (predominantemente restaurantes, juegos de azar y hospitalidad) en Europa y los Estados Unidos.
A pesar de que varios miembros de FIN7 han sido arrestados a lo largo de los años, el grupo de actores de amenazas continúa activo y vigoroso, como lo evidencia esta reciente oleada de ataques reportada por Microsoft.
En abril de 2022, Denys Iarmak, un «pentester» de FIN7, fue condenado a 5 años de prisión por violaciones de seguridad en redes y robos de información de tarjetas de crédito durante al menos dos años.
Iarmak es el tercer miembro de FIN7 sentenciado en EE.UU, después de que Andrii Kolpakov (otro «pentester«) fuera condenado a 7 años de prisión en junio de 2021 y Fedir Hladyr (un gerente de alto rango) recibiera una sentencia de 10 años en abril de 2021.

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence