Grupo de ransomware FIN7 ataca montadora de carros dos EUA

Montadora, descrita apenas como “um grande fabricante automotivo multinacional com sede nos EUA”, teria sido atacada no final do ano passado
Da Redação
19/04/2024

Um grupo de hackers com motivação financeira FIN7 atacou uma grande montadora de automóveis dos EUA usando e-mails de spear phishing enviados a funcionários do departamento de TI com elevados privilégios de acesso aos sistemas corporativos para infectá-los com a backdoor Anunak.

De acordo com pesquisadores da BlackBerry, o ataque aconteceu no final do ano passado e contou com binários, scripts e bibliotecas living off the land (LotL, ou viver da terra, em tradução livre). Os operadores da ameaça se concentraram em alvos com privilégios de alto nível, atraindo-os com links para um URL malicioso que se fazia passar pela ferramenta legítima Advanced IP Scanner. Os pesquisadores não divulgaram o nome da montadora, que descrevem apenas como “um grande fabricante automotivo multinacional com sede nos EUA”.

A BlackBerry atribuiu os ataques, com um alto nível de confiança, ao grupo FIN7, tomando como base o uso de scripts PowerShell exclusivos, do invocador de shellcode ofuscado “PowerTrash” da assinatura do grupo, visto pela primeira vez em uma campanha de 2022. Antes disso, o FIN7 foi rastreado tentando atacar servidores expostos de backup Veeam e Microsoft Exchange, bem como implantando cargas úteis de ransomware Black Basta e Clop em redes corporativas.

Veja isso
Grupo hacker FIN7 retorna com ataques do ransomware Clop
Grupo de ransomware FIN7 ataca servidores de backup da Veeam

O FIN7 existe desde 2013, mas somente nos últimos anos mudou para alvos maiores e a carga final típica é o ransomware. A transição para atacar organizações maiores no contexto do ransomware faz sentido, uma vez que elas podem pagar resgates maiores.

A BlackBerry comenta que o ataque do FIN7 não conseguiu se espalhar além do sistema infectado inicial e para o estágio de movimento lateral. A empresa recomenda que as empresas se defendam contra o phishing, que é o vetor de intrusão mais comum, e forneçam treinamento adequado para que os funcionários possam evitar iscas maliciosas. A implementação da autenticação multifator (MFA) em todas as contas de usuário torna mais difícil para um invasor obter acesso à conta de um funcionário, mesmo que consiga roubar credenciais de acesso.

Compartilhar:

Últimas Notícias