Die finanziell motivierte Hackergruppe FIN7 wird für umfangreichen Zahlungskartenbetrug verantwortlich gemacht. Vor wenigen Monaten verschickte sie zudem USB-Sticks mit Erpressungs-Trojanern per Post an Unternehmen. Zwar hat das US-Justizministerium im vergangenen Jahr mehrere Anklagen erhoben und Verhaftungen vorgenommen.
Doch neue Recherchen von Mandiant zeigen, dass die Gruppe ihre Operationen weiterentwickelt hat und sich zunehmend auf Ransomware-Angriffe fokussiert, die vermutlich MAZE-, RYUK-, DARKSIDE- und ALPHV-Ransomware beinhalten. Mandiant hat nun frühere Aktivitäten anderer Bedrohungscluster mit FIN7 in Verbindung bringen können.
Diese zeigen, dass FIN7 sich weiterentwickelt hat, um die Geschwindigkeit ihrer Operationen zu erhöhen, den Umfang ihrer Ziele zu erweitern und möglicherweise sogar ihre Beziehungen zu anderen Ransomware-Operationen im cyberkriminellen Untergrund auszubauen.
Die wichtigsten Erkenntnisse:
- Seit 2020 wurden insgesamt acht zuvor als eigenständig eingestufte Gruppen von Mandiant zu FIN7 zusammengeführt
Dies bestätigt die Widerstandsfähigkeit der mit der Hackergruppe assoziierten Akteure. Mandiant hat seit April 2021 über fünf Angriffswellen hinweg einen Anstieg der Aktivitäten von FIN7 festgestellt.
- FIN7 kompromittierte erstmals eine Lieferkette
Die Gruppe kompromittierte eine Website, die digitale Produkte verkauft. Sie modifizierte mehrere Download-Links, um auf einen Amazon S3-Bucket zu verweisen, in dem trojanisierte Versionen gehostet wurden, die einen Atera-Agent-Installer enthielten. Mit diesem konnte eine neue Backdoor namens POWERPLANT eingerichtet werden.
- POWERPLANT bietet aufgrund seines Rahmenwerks umfangreiche Möglichkeiten
FIN7 verwendete POWERPLANT bei allen beobachteten Angriffen im Jahr 2021. Die Recherchen veranlassen Mandiant zu der Einschätzung, dass FIN7 wahrscheinlich der einzige Akteur ist, der POWERPLANT verwendet.
- PowerShell ist die Lieblings-Sprache von FIN7
FIN7 hat die Malware für ihre Angriffskampagnen in vielen verschiedenen Programmiersprachen entwickelt. Eine besondere Vorliebe besteht aber erkennbar für exklusive PowerShell-basierte Loader und einzigartige PowerShell-Befehle.