Kelompok penjahat dunia maya bermotivasi finansial yang dikenal sebagai FIN7 muncul kembali bulan lalu, dengan analis ancaman Microsoft menghubungkannya dengan serangan di mana tujuan akhirnya adalah penyebaran muatan ransomware Clop di jaringan korban.
“Grup kriminal dunia maya yang bermotivasi finansial Sangria Tempest (ELBRUS, FIN7) telah keluar dari masa tidak aktif yang lama,” perusahaan itu dikatakan dalam serangkaian tweet dari akun Twitter Intelijen Keamanan Microsoft.
“Grup tersebut diamati menyebarkan ransomware Clop dalam serangan oportunistik pada April 2023, kampanye ransomware pertamanya sejak akhir 2021.”
Dalam serangan baru-baru ini, penyerang FIN7 menggunakan dropper malware dalam memori POWERTRASH berbasis PowerShell untuk menerapkan alat pasca-eksploitasi Lizar pada perangkat yang disusupi.
Hal ini memungkinkan pelaku ancaman mendapatkan pijakan dalam jaringan yang ditargetkan dan bergerak secara lateral untuk menyebarkan ransomware Clop menggunakan OpenSSH dan Impacket. Toolkit Python yang sah ini juga dapat digunakan untuk eksekusi layanan jarak jauh dan serangan relai.
Menurut Microsoft, ransomware Clop hanyalah jenis terbaru yang digunakan geng kejahatan dunia maya untuk menargetkan korban.
Grup tersebut sebelumnya telah dikaitkan dengan ransomware REvil dan Maze sebelum keterlibatan mereka dalam operasi Ransomware-as-a-service (Raas) BlackMatter dan DarkSide yang sekarang sudah tidak berfungsi.
Penangkapan FIN7, boneka beruang, dan ransomware
Sejak mulai beroperasi satu dekade lalu, pada 2013, The Grup peretasan bermotivasi finansial FIN7 telah dikaitkan dengan serangan yang terutama menargetkan bank dan terminal point-of-sale (PoS) perusahaan dari berbagai sektor industri (terutama restoran, perjudian, dan perhotelan) di Eropa dan Amerika Serikat.
FBI telah memperingatkan perusahaan AS tentang Serangan drive-by USB dikoordinasikan oleh FIN7, menargetkan industri pertahanan AS dengan paket berisi perangkat USB berbahaya yang dirancang untuk menyebarkan ransomware.
Operator FIN7 juga menyamar sebagai Best Buy dalam serangan serupa dengan flash drive berbahaya melalui USPS ke hotel, restoran, dan bisnis ritel, paket yang juga menggabungkan boneka beruang untuk mengelabui target agar menurunkan kewaspadaan mereka.
Meskipun beberapa anggota FIN7 telah ditangkap selama bertahun-tahun, grup peretasan masih aktif dan kuat, sebagaimana dibuktikan oleh serangan baru yang dilaporkan oleh Microsoft.
Pada April 2022, “pen tester” FIN7 Denys Iarmak adalah divonis 5 tahun penjara untuk pelanggaran jaringan dan serangan pencurian kartu kredit selama setidaknya dua tahun.
Iarmak adalah anggota FIN7 ketiga yang dijatuhi hukuman di AS setelah Andrii Kolpakov (“pen tester” lainnya) dikirim ke penjara selama tujuh tahun. pada Juni 2021dan Fedir Hladyr (manajer tingkat tinggi) menerima hukuman sepuluh tahun pada April 2021.
