Blog

Miembros de FIN7 han regresado a las andanzas, bajo la bandera de Clop Ransomware

Un conjunto de ciberdelincuentes con motivaciones financieras, conocido como FIN7, reapareció el mes pasado. Los expertos en Threat Intelligence de Microsoft han asociado a este grupo con algunos ataques cuyo objetivo final consistía en implementar payloads del ransomware Clop en las redes corporativas de sus víctimas.

El grupo ciberdelincuente motivado financieramente Sangria Tempest (ELBRUS, FIN7) ha salido de un largo período de inactividad”, dijo la compañía en una serie de tuits de la cuenta de Twitter de Microsoft Security Intelligence.

«Clop es la última variedad de ransomware que se ha observado que Sangria Tempest implementa a lo largo de los años. El grupo implementó previamente REvil y Maze antes de administrar las operaciones de ransomware DarkSide y BlackMatter ahora retiradas.» Dice el tweet publicado por el equipo de Threat Intelligence de Microsoft.

En estos ataques recientes, los miembros de FIN7 utilizaron el cuentagotas de malware en memoria POWERTRASH, basado en PowerShell, para implementar la herramienta de explotación posterior, Lizar, en dispositivos comprometidos.

Esto permitió a los actores de amenazas afianzarse dentro de la red y moverse lateralmente para implementar el ransomware Clop, utilizando OpenSSH e Impacket. Este kit de herramientas legítimos de Python también se puede utilizar para la ejecución de servicios remotos y ataques de retransmisión.

Según Microsoft, Clop es solo una de las diversas banda de ciberdelincuentes que ha utilizado como organización para atacar a las víctimas. El grupo ha estado previamente vinculado a REvil y Maze ransomware, antes de su participación en las ahora desaparecidas operaciones BlackMatter y DarkSide.

Desde que comenzó a operar hace una década, en 2013, el grupo FIN7 ha estado vinculado a ataques dirigidos a los principalmente a bancos y terminales de punto de venta (PoS) de empresas de diversos sectores industriales (predominantemente restaurantes, juegos de azar y hospitalidad) en Europa y los Estados Unidos.

A pesar de que varios miembros de FIN7 han sido arrestados a lo largo de los años, el grupo de actores de amenazas continúa activo y vigoroso, como lo evidencia esta reciente oleada de ataques reportada por Microsoft.

En abril de 2022, Denys Iarmak, un «pentester» de FIN7, fue condenado a 5 años de prisión por violaciones de seguridad en redes y robos de información de tarjetas de crédito durante al menos dos años.

Iarmak es el tercer miembro de FIN7 sentenciado en EE.UU, después de que Andrii Kolpakov (otro «pentester«) fuera condenado a 7 años de prisión en junio de 2021 y Fedir Hladyr (un gerente de alto rango) recibiera una sentencia de 10 años en abril de 2021.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required