Incidentes Asociados
FIN7 (también conocido como Sangria Tempest) es un grupo de amenazas con motivaciones financieras y vínculos con Rusia que opera desde al menos 2013 y que anteriormente se creía que había sido eliminado por el Departamento de Justicia.
Desde un único punto de origen, los analistas de amenazas de Silent Push descubrieron una extensa serie de campañas FIN7 en curso, incluidos varios cientos de dominios e IP de phishing, suplantación de identidad, entrega de shell y malware activos que apuntaban a numerosas organizaciones y productos empresariales.
Encontramos miles de dominios FIN7 estacionados y, al monitorearlos diariamente para detectar cambios, pudimos encontrar infraestructura maliciosa tan pronto como se lanza. Uno de los señuelos de entrega de malware FIN7 más recientes se está utilizando en varios dominios y promueve "AI Deepfake Nude Generating Software", que conduce a D3F@ck Loader y al menos una carga útil adicional.
Otros programas que están siendo atacados con sitios web falsos y cargas útiles maliciosas incluyen 7-zip, PuTTY, ProtectedPDFViewer, AIMP, Notepad++, Advanced IP Scanner, AnyDesk, pgAdmin, AutoDesk, Bitwarden, Rest Proxy, Python, Sublime Text y Node.js.
Nuestra presentación destacará los métodos actuales que FIN7 está utilizando para atacar a las organizaciones empresariales con cargas útiles de ransomware y brindará detalles sobre el malware que hemos visto en la infraestructura del grupo en 2024.