Un análisis exhaustivo de FIN7 ha desenmascarado la jerarquía organizacional del sindicato del crimen cibernético, además de desentrañar su papel como afiliado para montar ataques de ransomware.
También ha expuesto asociaciones más profundas entre el grupo y el ecosistema de amenazas más grande que comprende las familias de ransomware DarkSide, REvil y LockBit, ahora desaparecidas.
El grupo de amenazas altamente activo, también conocido como Carbanak, es conocido por emplear un amplio arsenal de herramientas y tácticas para expandir sus «horizontes de ciberdelincuencia», incluida la adición de ransomware a su libro de jugadas y la creación de empresas de seguridad falsas para atraer a los investigadores a realizar ataques de ransomware bajo el disfraz de las pruebas de penetración.
Más de 8147 víctimas se han visto comprometidas por el adversario motivado financieramente en todo el mundo, con la mayoría de las entidades ubicadas en los EE. UU. Otros países destacados incluyen China, Alemania, Canadá, Italia y el Reino Unido.
Las técnicas de intrusión de FIN7, a lo largo de los años, se han diversificado más allá de la ingeniería social tradicional para incluir unidades USB infectadas, el compromiso de la cadena de suministro de software y el uso de credenciales robadas compradas en mercados clandestinos.
«Hoy en día, su enfoque inicial es elegir cuidadosamente empresas de alto valor del grupo de sistemas empresariales ya comprometidos y obligarlos a pagar grandes rescates para restaurar sus datos o buscar formas únicas de monetizar los datos y el acceso remoto», PRODAFT dijo en un informe compartido con The Hacker News.
Según la compañía suiza de ciberseguridad, también se ha observado que los actores de amenazas utilizan fallas en Microsoft Exchange como CVE-2020-0688, CVE-2021-42321, ProxyLogon y ProxyShell en Microsoft Exchange Server para obtener un punto de apoyo en los entornos de destino. .
A pesar del uso de tácticas de doble extorsión, los ataques organizados por el grupo han desplegado puertas traseras en los sistemas comprometidos, incluso en escenarios en los que la víctima ya ha pagado un rescate.
La idea es revender el acceso a otros equipos de ransomware y volver a apuntar a las víctimas como parte de su esquema ilícito de obtención de dinero, lo que subraya sus intentos de minimizar los esfuerzos y maximizar las ganancias, sin mencionar la prioridad de las empresas en función de sus ingresos anuales, fechas de fundación, y el número de empleados.
Esto «demuestra un tipo particular de estudio de factibilidad considerado un comportamiento único entre los grupos de delitos cibernéticos», dijeron los investigadores.
Dicho de otra manera, el modus operandi de FIN7 se reduce a esto: utiliza servicios como Dun & Bradstreet (DNB), Crunchbase, Owler y Zoominfo para preseleccionar empresas y organizaciones con los ingresos más altos. También utiliza otras plataformas de análisis de sitios web como MuStat y Similarweb para monitorear el tráfico a los sitios de las víctimas.
Luego, el acceso inicial se obtiene a través de uno de los muchos vectores de intrusión, seguido de la filtración de datos, el cifrado de archivos y, finalmente, la determinación del monto del rescate en función de los ingresos de la empresa.
Estas secuencias de infección también están diseñadas para cargar los troyanos de acceso remoto como Carbanak, Lizar (también conocido como Tirion) y HieloBotel último de los cuales fue documentado por primera vez por Gemini Advisory, propiedad de Recorded Future, en enero de 2022.
Otras herramientas desarrolladas por FIN7 abarcan módulos para automatizar escaneos de servidores Microsoft Exchange vulnerables y otras aplicaciones web públicas, así como Cobalt Strike para post-explotación.
En otra indicación más de que los grupos criminales funcionan como empresas tradicionales, FIN7 sigue una estructura de equipo que consiste en equipos de gestión de alto nivel, desarrolladores, pentesters, afiliados y marketing, cada uno de los cuales tiene responsabilidades individuales.
Mientras que dos miembros llamados Alex y Rash son los principales actores detrás de la operación, un tercer miembro administrativo llamado Sergey-Oleg es responsable de delegar funciones a los otros asociados del grupo y supervisar su ejecución.
Sin embargo, también se ha observado que los operadores en cargos administrativos practican la coerción y el chantaje para intimidar a los miembros del equipo para que trabajen más y dan ultimátum para «perjudicar a sus familiares en caso de renunciar o escapar de sus responsabilidades».
Los hallazgos se producen más de un mes después de que la empresa de ciberseguridad SentinelOne identificara vínculos potenciales entre FIN7 y la operación de ransomware Black Basta.
«FIN7 se ha consolidado como un grupo APT extraordinariamente versátil y conocido que se dirige a empresas empresariales», concluyó PRODAFT.
«Su movimiento característico es investigar a fondo las empresas en función de sus ingresos, el número de empleados, la sede y la información del sitio web para identificar los objetivos más rentables. Aunque tienen problemas internos relacionados con la distribución desigual de los recursos monetarios obtenidos y prácticas un tanto cuestionables hacia sus miembros. , han logrado establecer una fuerte presencia en la esfera del cibercrimen».