ارتباط خانواده جرایم سایبری فین7 به باج افزار کلاپ

به گزارش کارگروه امنیت خبرگزاری سایبربان، محققان تیم امنیتی مایکروسافت می گویند که این گروه را حین راه اندازی باج‌افزار کلاپ (Clop) در آوریل رصد کرده اند.
این اولین کمپین باج‌افزار آنها پس از یک دوره طولانی عدم فعالیت از اواخر سال 2021 بوده است.
مایکروسافت می گوید که فین7 که در قرارداد نام‌گذاری جدید خود، آن را سانگریا تمپست (Sangria Tempest) می‌نامد، در حال استقرار چندین ابزار مختلف رصد شده است که به آن جایگاهی در سیستم‌های قربانی، قبل از حرکت جانبی در داخل شبکه و استقرار باج‌افزار کلاپ می‌دهد.
مایکروسافت عصر پنجشنبه گفته است:

کلاپ جدیدترین نوع باج‌افزاری است که از سنگریا تمپست در طول سال‌ها مشاهده شده است. این گروه قبلاً رویل و میز را قبل از مدیریت عملیات باج‌افزار دارک ساید (DarkSide) و بلک متر (BlackMatter) که اکنون بازنشسته شده‌اند، مستقر کرده است.

در ماه نوامبر، محققان سنتینل وان (SentinelOne)، این سازمان جرایم سایبری را به عملیات باج‌افزار بلک باستا (Black Basta) گره زدند؛ گروهی که پشت حملات پرمخاطب به انجمن دندان‌پزشکی آمریکا و اپراتور آلمانی مزرعه بادی داچ ویندتکنیک (Deutsche Windtechnik) بوده است.
سنتینل وان ارزیابی مایکروسافت مبنی بر اینکه فین7 قبلاً با سایر عملیات‌های باج‌افزار قابل توجه مانند دارک ساید، بلک متر، رویل و ای ال پی اچ وی (ALPHV) مرتبط بوده است را تکرار می کند.
فین7 که قبلاً با نام کارباناک (Carbanak) شناخته می شده است، از سال 2012 ده ها اقدام مجرمانه سایبری را انجام داده است.
این گروه شروع به استفاده از بدافزارهای نقطه فروش برای اجرای کلاهبرداری های مالی کرده اما در حدود سال 2020 به باج افزار روی آورده است.
فین7 متهم است که بین سال‌های 2015 تا 2018 به بیش از 100 شرکت آمریکایی حمله کرده و در ده‌ها خرده‌فروش آمریکایی، مانند چیپوتل مکزیکن گریل (Chipotle Mexican Grill)، چیلیز (Chili's)، آربیز (Arby's)، رد روبین (Red Robin) و  جیسونز دلی (Jason's Deli)، نفوذهایی را سازماندهی کرده است، جایی که آنها بدافزارهایی را مستقر کرده اند که جزئیات کارت میلیون‌ها مشتری را که بعدا در انجمنهای هک به فروش می رسیده اند، جمع‌آوری می‌کرده است.
یکی از اعضای کلیدی فین7 در ژوئن 2021 به 84 ماه زندان و به پرداخت 2.5 میلیون دلار غرامت محکوم شد و یکی دیگر از آنها توسط دادگاه روسیه در دسامبر 2021 به یک سال حبس تعلیقی محکوم شد. حداقل پنج عضو فین7 توسط سازمانهای پلیسی شناسایی شده اند.
آلن لیسکا، کارشناس باج‌افزار ریکوردد فیوچر (Recorded Future) می گوید که ارزیابی مایکروسافت نشان می‌دهد که عوامل کلاپ یا به مجرمان سایبری دیگر اجازه می‌دهند باج‌افزار خود را به کار گیرند یا نوعی مشارکت با فین7 ایجاد کرده‌اند.
او می گوید:

هیچ نشانه ای وجود ندارد که بتوانم بر اساس آن، کلاپ را در گذشته به فین7 مرتبط کرده باشم، بنابراین به نظر می رسد این یک رابطه جدید باشد. حال این ارتباط به هر شکلی که می خواهد باشد.

لیسکا خاطرنشان می کند که سایر سازمان‌های مجرمان سایبری نیز قبلاً از تاکتیک‌های مشابه به عنوان راهی برای اجتناب از تحریم‌های ایالات متحده استفاده کرده‌اند که پرداخت باج را برای قربانیان غیرقانونی می‌کند.
لیسکا توضیح می دهد:

گروه اویل (Evil Corp) قبلاً این کار را انجام می‌داد و ممکن است هنوز هم انجام دهد. و آنها این کار را به این دلیل که مردم ندانند که دارند به یک نهاد تحریم شده، باج را پرداخت می‌کنند، انجام می دهند. فین7 احتمالاً در حال خرید باج‌افزاری است که می‌تواند برای پوشش مسیرهای خود مستقر کند. آن‌ها از یک گروه باج‌افزار به گروه باج‌افزار دیگر می‌روند و به دنبال هوشمندی جدید هستند.

گروه کلاپ در اوایل سال جاری به دلیل بهره برداری از آسیب پذیری موثر بر محصول انتقال فایل گو انیور فورتا (GoAnywhere Fotra)، تمام توجهات را به خود جلب کرد. این گروه اطلاعات دولت ها، مشاغل و مدارس را از شهر تورنتو و شرکت ویرجین گرفته تا دولت تاسمانی و هیتاچی به سرقت برد.