Hackergruppe FIN7 erweitert Arsenal um Ransomware und neue Backdoor

Die Hackergruppe FIN7 ist mit einer Kampagne zurück, die eine neuartige Backdoor und andere neue bösartige Tools umfasst. FIN7 gilt als einer der wichtigsten Bedrohungsakteure und hat zahlreiche Finanzunternehmen weltweit schwer geschädigt.

Die auf Geld ausgerichtete Gruppe, die auch unter dem Namen Carbanak bekannt ist, hat sich auf BEC-Betrug (Business Email Compromise) und das Eindringen in POS-Systeme (Point-of-Sale) spezialisiert. Die Gruppe versucht, Zahlungskartendaten von Verbrauchern zu stehlen, und hat in den letzten Jahren ihre Angriffsmethoden ständig weiterentwickelt und verfeinert.

Kürzlich brachten Cybersecurity-Forscher FIN7 mit Betreibern von Ransomware in Verbindung, darunter REvil, Darkmatter und Alphv. Trotz der Verhaftungen und der Verurteilung hochrangiger FIN7-Mitglieder gehen die Angriffswellen weiter, wobei die jüngste die Verwendung neuartiger Malware, die Einbeziehung „neuer anfänglicher Zugangsvektoren und eine wahrscheinliche Verlagerung der Monetarisierungsstrategien“ beinhaltet, so Mandiant.

In einem ausführlichen Bericht über die jüngsten Aktivitäten des Bedrohungsakteurs stellte Mandiant fest, dass FIN7 seine anfänglichen Einbruchsmethoden über BEC-Betrug und Phishing-Versuche hinaus weiterentwickelt hat. Jetzt nutzt die Gruppe auch Lieferketten, RDP und gestohlene Anmeldedaten, um in Unternehmensnetzwerke einzudringen.

Die Forscher stellten auch fest, dass eine neue „neuartige“ Backdoor bei den jüngsten Angriffen bevorzugt wird. Die auf PowerShell basierende Backdoor – auch als KillACK bekannt – wird über Griffon, ein leichtgewichtiges Java-Implantat, bereitgestellt und dient dazu, einen dauerhaften Zugriff auf ein Zielsystem aufrechtzuerhalten und Informationen, einschließlich Anmeldeinformationen, zu stehlen.

Mandiant hat außerdem mehrere Kampagnen als das Werk von FIN7 identifiziert. Insgesamt wurden acht separate, nicht kategorisierte (UNC) Bedrohungsgruppen mit FIN7-Aktivitäten zusammengeführt, und weitere 17 stehen im Verdacht, Verbindungen zu der Cyberkriminellen-Organisation zu haben.

„Im Laufe ihrer Entwicklung hat FIN7 das Tempo ihrer Operationen, den Umfang ihrer Angriffe und möglicherweise sogar ihre Beziehungen zu anderen Ransomware-Operationen im cyberkriminellen Untergrund erhöht“, so Mandiant.