Die Malware-Gruppe FIN7 ist wieder auf dem Vormarsch.
Die Cybercrime-Gruppe nutzt Software-Lieferketten, Methoden zur Remote-Programmausführung und gestohlene Anmeldedaten, um Ransomware in Unternehmensnetzwerke einzuschleusen. Die Hacking-Gruppe FIN7 gibt es seit mindestens 2015. Zunächst machte sich die Gruppe einen Namen, indem sie sich mit ihrer maßgeschneiderten Backdoor-Malware dauerhaften Zugang zu gewissen Unternehmen verschaffte und mit Kreditkarten-Skimmer-Software auf Kassensysteme abzielte.
Noch heimtückischer ist, dass sich Mitglieder der FIN7-Gruppe als gefälschte Sicherheitsberater*innen ausgeben, die Namen wie Combi Security und seit kurzem auch eine neue Scheinfirma namens Bastion Secure tragen. Ein seriöser Sicherheitsanalyst wurde von Bastion angeworben. Viele Details über den ganzen schmutzigen Prozess und die anschließende Untersuchung sind inzwischen an die Öffentlichkeit gesickert, die zeigen, wie weit FIN7 gehen, um sich und ihre kriminellen Absichten zu verschleiern. So konnten die Analyst*innen den Quellcode der Malware prüfen und die Taktiken der Gruppe besser verstehen.
Die Gruppe hat ihre Höhen und Tiefen erlebt. Im Jahr 2018 kompromittierte FIN7 die Netzwerke von amerikanischen Handelsketten und verkaufte anschließend Daten von über 5 Millionen Zahlungskarten im Dark Web. Im Juni 2021 gab es einen großen Durchbruch für die Strafverfolgungsbehörden, als sich ein mittlerer Vorgesetzter der Verschwörung schuldig bekannte und eine siebenjährige Haftstrafe sowie eine Geldstrafe in Höhe von 2,5 Mio. US-Dollar für die Wiedergutmachung erhielt.
Anfang diesen Jahres versuchte die Gruppe, infizierte USB-Speichersticks mit der Post zu verschicken. Sie schienen vom US-Gesundheitsministerium oder von Amazon zu stammen und enthielten die Malware “BadUSB”, die zur Ausführung von Programmen aus der Ferne oder zum Einschleusen anderer Malware in den PC des Opfers verwendet werden kann.
Ransomware zieht weiterhin Kriminelle an und stiehlt Geld
FIN7 hat sich mit Revil-, Darkside- und Blackmatter-Angriffen auf Ransomware verlegt. Eines ihrer bevorzugten Tools ist PowerPlant, das von der Gruppe seit mehreren Jahren entwickelt und bei zahlreichen Angriffen im Jahr 2021 eingesetzt wurde. PowerPlant ist ein umfangreiches Framework mit Backdoor-Einstiegspunkten und zahlreichen Zusatzmodulen, die zur Netzwerkaufklärung, Fernsteuerung und zum Umgehen von Windows-Malware-Scans verwendet werden können.
Um Ransomware zu vermeiden, solltet ihr mehrere Abwehrmaßnahmen ergreifen. Dazu gehört, dass ihr alle kritischen und sensiblen Daten lokalisiert und diese nicht nur sichert, sondern auch beachtet, dass ihr diese Sicherungen wiederherstellen könnt.
Unternehmen (KMU) sollten einen krisenerprobten Plan für die Reaktion auf Vorfälle haben, der eine angemessene Wiederherstellungszeit vorsieht, und alle Cloud-Daten und -Arbeitslasten auf angemessene Berechtigungsnachweise überprüft.
Interessiert an mehr News von uns? Folgt uns auf Facebook und auf Twitter!
