FIN7 해커들이 이번에 추가로 랜섬웨어까지 그들의 공격무기를 갖추었습니다.  
FIN7 Threat Actors Add Ransomware to Their Arsenal


세계에서 가장 왕성하게 활동하는 범죄집단 중에 하나인 FIN7은 이번에 그들이 공격 무기 중에 랜섬웨어를 추가하였습니다. 이 조직은 2014년도에 전세계 100개 이상의 기업들로 부터 도합 10억달러에 달하는 악명높은 범죄를 저지른 것으로 유명세를 얻었습니다.

FIN7은 기술적으로 진보 되었을 뿐만 아니라, 끈질길 공격집단 중의 하나라고 보안 전문가들은 이야기 하고 있습니다. 다년간 이 집단이 보여주었던 고도로 발전된 전략과 통제기술로 인해, 랜섬웨어로 전향해 하고 있는 FIN7의 움직임은 세간의 걱정을 불러 내고 있습니다.

  FIN7, one of the most prolific cyber criminal gangs in the world, has added ransomware to its attack arsenal. The organization gained infamy in 2014 after it stole a total of $1 billion from over 100 companies around the world.
  According to security experts, FIN7 is one of the most skilled advanced persistent threat groups. Due to the highly developed tactics and discipline the group has shown over its multi-year history, FIN7’s move into ransomware is cause for concern.

FIN7은 새로운 사이버 범죄 전략을 도입하였습니다.

레빌, 다크사이드, 블랙매터, 블랙캣등과 같은 랜섬웨어 실행집단이 FIN7과 연루되어 있다고 최근 맨디언트에서 발표하였습니다. 증가하고 있는 랜섬웨어 배포, 데이터 탈취등이 범죄의 증거들이 이 공격들과 밀접하게 관련되어 있다는 증거가 이 보고서에 기재되어 있으며, 아래와 같은 내용을 포함하고 있습니다. 

• 범죄조직은  파워플랜트라고 불리는 새로운 백도어를 갖고 있으며, 그들이 침입하는 동안 업무 자동화 및 구성 관리 프로그램인 파워쉘을 꾸준히 활용하고 있습니다.
• 그들의 초기 엑세스 기술은 멀리 퍼져 있으며, 이는 소프트웨어 공급망 공격애 포함되어 있고, 도난당한 신분정보를 이용할때 사용되며,  일반적인 피싱 기술에도 이용이 됩니다. 
• 데이터 유출, 강탈 그리고 랜섬웨어 배포에 대한 증거들을 보면, 여러 공격집단들의 행동과 같은 맥락을 보이고 있으며, 이는 비슷한 기술을 사용한 것으로 보여 집니다. 

FIN7 Adopts New Cyber Crime Tactics

Recent Mandiant research reveals that threat groups affiliated with FIN7 have been involved in ransomware operations such as REvil, DarkSide, BlackMatter and ALPHV (BlackCat). The research provides evidence of increased data-theft extortion or ransomware deployment closely connected with these attacks.
Some of the research findings include:

• The group continues to leverage the task automation and configuration management program PowerShell throughout their intrusions, including in a new backdoor called PowerPlant
• Its initial access techniques have spread out to include software supply chain compromise and the use of stolen credentials, in addition to common phishing techniques
• Evidence of data theft, extortion and ransomware deployment follows related activity at multiple threat actor gangs with observed technical overlaps.

유명한 회사들에 감행한 공격 히스토리 
 
2021년 FIN7는 바스티온 시큐어라는 가짜 보안회사를 만들었습니다. 마치 진짜 회사처럼 위장을 하면서, 이 보안 그룹은 보안 직원들을 고용 하였고, 그들에게 실제 랜섬웨어 공격을 하도록 속였습니다.

미국의 중요 에너지회사인 콜로니얼파이프라인의 공격의 배후에 있던 소프트웨어의 출처가 FIN7 이며,  랜섬웨어 공격집단인 다크사이드는 FIN7 과 직접적인 연관이 있는 공격을 수행한 것으로 알려져 있습니다. 

이 공격에서  수백만 피해기업들이 있는데 이 중 에는 SAKS Fifth Avenue, Saks Off 5th, Lord & Taylor, Omni Hotels & Resorts, Trump Hotels, Jason’s Deli, Whole Foods and Chipotle 같은 유명 기업들이 포함되어 있습니다. 

History of High Profile Attack

  In 2021, FIN7 allegedly created a fake security firm called Bastion Secure. Disguising itself as an honest company, the threat group hired researchers and tricked them into running actual ransomware attacks.
  FIN7 is allegedly the source for the software behind the breach of major fuel provider Colonial Pipeline. The ransomware group DarkSide ran the attack, which allegedly has direct ties to FIN7.
  Among the hundreds of victims are SAKS Fifth Avenue, Saks Off 5th, Lord & Taylor, Omni Hotels & Resorts, Trump Hotels, Jason’s Deli, Whole Foods and Chipotle.

고도로 발달된 끈질긴 위협집단 

새로운 보고서는 FIN7이 그들의 공격을 가속화 하고, 기술의 폭을 널폈으며, 다른 랜섬웨어 공격자들과 긴밀한 관계를 갖고 있다고 발표하였습니다. 

많은 공격집단들이 있지만, FIN7은 특히 전문적이고 훈련받은 그룹으로 여겨집니다.  이 그룹은 러시아어를 사용하는 것 처럼 보이지만 특정한 나라에 연계되어 있지는 않아 보입니다. 또한  보안연구자들은  FIN7이  충분한 자금을 기반으로 하는 연구 및 실험부서가 있어서, 안티바이러스와 스캐닝 탐지를 회피할 수 있게 돕고 있다고 보안전문가들은 보고 있습니다.

FIN7을 발견하고 제거하는 것이 어려울 수 있기 때문에 보안담당자들은 이러한 공격기술의 수준을 보면서 걱정을 하고 있습니다. 이 공격집단이 더 많은 시스템의 접근권한을 얻기 위해  소프트웨어공급망공격에도 사용이 될 수 있다고 맨디언트는 이야기를 하고 있습니다. 예를 들면, FIN7 공격자들은 대량의 악의적인 기능을 포함한 파워플랜트 백도어를 원격으로 심은적이 있습니다. 

FIN은 고도화된 끈질긴 공격그룹으로 알려져 있기 때문에,  이들의 랜섬웨어로의 진출은 사람들에게 걱정을 줄 수 있습니다. 수십년간 이 기업들은 불법적인 활동들을 통해서 수십억을 긁어 모아왔습니다. 2018년도 갱단의 리더들이 체포된 이후에도 이들은 주춤함도 없이 지속적으로 범죄행동에  참여하고 있습니다. 
랜섬웨어 방지 팀에서는 이러한 사실을 명심해야 합니다.

Advanced Persistent Threat Group

  The new research reveals that FIN7 is accelerating its attacks and has widened its tactics and relationships with other ransomware actors.
  While there are many threat actor gangs, researchers regard FIN7 as a particularly professional and disciplined group. The group appears to be Russian-speaking, but it hasn’t been tied to any specific country. Researchers believe FIN7 has a well-funded research and testing division, which helps it evade antivirus and scanner detection.
  Given this level of skill, defenders are concerned. FIN7 attacks can be hard to detect and defuse. Mandiant says that the group has adopted supply chain compromise as well to gain more system access. For example, FIN7 actors have remotely deployed the PowerPlant backdoor that contains a large array of malicious capabilities.
  Since FIN7 is a known advanced persistent threat group, its foray into ransomware may alarm people. Over the years, the organization has raked in billions through illicit activities. However, even after the arrest of gang leaders in 2018, FIN7 continues to engage in criminal activity with no signs of slowing. Ransomware readiness teams, take note.

https://securityintelligence.com/news/fin7-threat-actors-ransomware-attack/