De beruchte cybercriminaliteitsgroep, bekend als FIN7, heeft zijn initiële toegangsvectoren gediversifieerd om compromissen in de toeleveringsketen van software en het gebruik van gestolen inloggegevens op te nemen, zo heeft nieuw onderzoek onthuld.
“Afpersing van gegevensdiefstal of inzet van ransomware na door FIN7 toegeschreven activiteiten bij meerdere organisaties, evenals technische overlappingen, suggereert dat FIN7-actoren in de loop van de tijd in verband zijn gebracht met verschillende ransomware-operaties”, incidentresponsbedrijf Mandiant zei in een analyse van maandag.
De groep cybercriminelen is sinds de opkomst in het midden van de jaren 2010 berucht geworden door grootschalige malwarecampagnes die zich richten op de point-of-sale (POS)-systemen die zijn gericht op de restaurant-, gok- en horecasector met malware voor het stelen van creditcards.
De verschuiving van FIN7 in de strategie voor het genereren van inkomsten naar ransomware volgt op een rapport van oktober 2021 van de Gemini Advisory-eenheid van Recorded Future, waarin werd vastgesteld dat de tegenstander een nep-dekmantelbedrijf opzette met de naam Bastion Secure om onwetende penetratietesters te rekruteren in de aanloop naar een ransomware-aanval.
Toen eerder deze januari het Amerikaanse Federal Bureau of Investigation (FBI) uitgegeven een Flash Alert die organisaties waarschuwt dat de financieel gemotiveerde bende kwaadaardige USB-drives (ook bekend als Slechte USB) aan Amerikaanse zakelijke doelen in de transport-, verzekerings- en defensie-industrie om systemen te infecteren met malware, waaronder ransomware.
Recente inbreuken die de acteur sinds 2020 heeft georganiseerd, hebben betrekking op de inzet van een enorm PowerShell-achterdeurraamwerk genaamd POWERPLANT, waarmee de voorliefde van de groep voor het gebruik van op PowerShell gebaseerde malware voor zijn offensieve operaties wordt voortgezet.
“Er is geen twijfel over mogelijk, PowerShell is de liefdestaal van FIN7”, aldus onderzoekers van Mandiant.
Bij een van de aanvallen werd waargenomen dat FIN7 een website compromitteerde die digitale producten verkoopt om meerdere downloadlinks te tweaken om ze te laten verwijzen naar een Amazon S3-bucket die getrojaniseerde versies hostte die Atera Agent bevatten, een legitiem hulpprogramma voor extern beheer, dat vervolgens POWERPLANT leverde naar het systeem van het slachtoffer.
De aanval op de toeleveringsketen markeert ook het evoluerende ambacht van de groep voor de eerste toegang en de inzet van malware-payloads in de eerste fase, die zich meestal concentreerden rond phishing-schema’s.
Andere tools die door de groep worden gebruikt om haar infiltraties te vergemakkelijken, zijn EASYLOOK, een verkenningshulpprogramma; BOATLAUNCH, een hulpmodule die is ontworpen om de Windows AntiMalware Scan Interface (AMSI) te omzeilen; en BIRDWATCH, een op .NET gebaseerde downloader die wordt gebruikt om binaire bestanden van de volgende fase op te halen en uit te voeren die via HTTP zijn ontvangen.
“Ondanks aanklachten tegen leden van FIN7 in 2018 en een daarmee verband houdende veroordeling in 2021, aangekondigd door het Amerikaanse ministerie van Justitie, zijn ten minste enkele leden van FIN7 actief gebleven en blijven hun criminele activiteiten in de loop van de tijd evolueren”, aldus de onderzoekers van Mandiant.
“Tijdens hun evolutie heeft FIN7 de snelheid van hun operationele tempo, de reikwijdte van hun targeting en mogelijk zelfs hun relaties met andere ransomware-operaties in de cybercriminaliteit verhoogd.”
