Hackergruppe FIN7 erweitert Arsenal um Ransomware und neue Backdoor

Die Hackergruppe FIN7 ist mit einer Kampagne zurück, die eine neuartige Backdoor und andere neue bösartige Tools umfasst. FIN7 gilt als einer der wichtigsten Bedrohungsakteure und hat zahlreiche Finanzunternehmen weltweit schwer geschädigt.

Die auf Geld ausgerichtete Gruppe, die auch unter dem Namen Carbanak bekannt ist, hat sich auf BEC-Betrug (Business Email Compromise) und das Eindringen in POS-Systeme (Point-of-Sale) spezialisiert. Die Gruppe versucht, Zahlungskartendaten von Verbrauchern zu stehlen, und hat in den letzten Jahren ihre Angriffsmethoden ständig weiterentwickelt und verfeinert.

Kürzlich brachten Cybersecurity-Forscher FIN7 mit Betreibern von Ransomware in Verbindung, darunter REvil, Darkmatter und Alphv. Trotz der Verhaftungen und der Verurteilung hochrangiger FIN7-Mitglieder gehen die Angriffswellen weiter, wobei die jüngste die Verwendung neuartiger Malware, die Einbeziehung „neuer anfänglicher Zugangsvektoren und eine wahrscheinliche Verlagerung der Monetarisierungsstrategien“ beinhaltet, so Mandiant.

In einem ausführlichen Bericht über die jüngsten Aktivitäten des Bedrohungsakteurs stellte Mandiant fest, dass FIN7 seine anfänglichen Einbruchsmethoden über BEC-Betrug und Phishing-Versuche hinaus weiterentwickelt hat. Jetzt nutzt die Gruppe auch Lieferketten, RDP und gestohlene Anmeldedaten, um in Unternehmensnetzwerke einzudringen.

Die Forscher stellten auch fest, dass eine neue „neuartige“ Backdoor bei den jüngsten Angriffen bevorzugt wird. Die auf PowerShell basierende Backdoor – auch als KillACK bekannt – wird über Griffon, ein leichtgewichtiges Java-Implantat, bereitgestellt und dient dazu, einen dauerhaften Zugriff auf ein Zielsystem aufrechtzuerhalten und Informationen, einschließlich Anmeldeinformationen, zu stehlen.

Mandiant hat außerdem mehrere Kampagnen als das Werk von FIN7 identifiziert. Insgesamt wurden acht separate, nicht kategorisierte (UNC) Bedrohungsgruppen mit FIN7-Aktivitäten zusammengeführt, und weitere 17 stehen im Verdacht, Verbindungen zu der Cyberkriminellen-Organisation zu haben.

„Im Laufe ihrer Entwicklung hat FIN7 das Tempo ihrer Operationen, den Umfang ihrer Angriffe und möglicherweise sogar ihre Beziehungen zu anderen Ransomware-Operationen im cyberkriminellen Untergrund erhöht“, so Mandiant.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

OpenAI meldet eine Million zahlende Business-Nutzer für ChatGPT

In fünf Monaten kommen rund 400.000 neue Nutzer hinzu. Die meisten zahlenden Nutzer hat ChatGPT…

1 Stunde ago

Gaming-bezogene Phishing-Attacken um 30 Prozent gestiegen

Über drei Millionen Angriffsversuche unter Deckmantel von Minecraft / YouTube-Star Mr. Beast als prominenter Köder

3 Tagen ago

KI erleichtert Truckern die Parkplatzsuche

Die Prognose für die Anfahrt bezieht das Verkehrsaufkommen, die Stellplatzverfügbarkeit sowie die Lenk- und Ruhezeiten…

3 Tagen ago

EU AI-Act Risk Assessment Feature

Unternehmen können mit Casebase Portfolio an Daten- und KI-Anwendungsfällen organisieren.

3 Tagen ago

Smarthome-Geräte sind Einfallstor für Hacker

Smart-TV oder Saugroboter: Nutzer schützen ihre smarten Heimgeräte zu wenig, zeigt eine repräsentative BSI-Umfrage.

3 Tagen ago

Core Ultra 200V: Intel stellt neue Notebook-Prozessoren vor

Im Benchmark erreicht der neue Core Ultra 200V eine Laufzeit von 14 Stunden. Intel tritt…

3 Tagen ago