El notorio grupo de delitos cibernéticos conocido como FIN7 ha diversificado sus vectores de acceso inicial para incorporar el compromiso de la cadena de suministro de software y el uso de credenciales robadas, según reveló una nueva investigación.
«La extorsión por robo de datos o la implementación de ransomware después de la actividad atribuida a FIN7 en varias organizaciones, así como las superposiciones técnicas, sugieren que los actores de FIN7 se han asociado con varias operaciones de ransomware a lo largo del tiempo», firma de respuesta a incidentes Mandiant dijo en un análisis del lunes.
El grupo de ciberdelincuentes, desde su surgimiento a mediados de la década de 2010, ha ganado notoriedad por sus campañas de malware a gran escala dirigidas a los sistemas de puntos de venta (POS) destinados a las industrias de restaurantes, juegos de azar y hotelería con malware de robo de tarjetas de crédito.
El cambio de FIN7 en la estrategia de monetización hacia el ransomware sigue a un informe de octubre de 2021 de la unidad Gemini Advisory de Recorded Future, que encontró que el adversario creó una empresa fachada falsa llamada Bastion Secure para reclutar probadores de penetración involuntarios antes de un ataque de ransomware.
Luego, a principios de enero, la Oficina Federal de Investigaciones (FBI) de EE. emitido una Alerta Flash advirtiendo a las organizaciones que la pandilla con motivación financiera estaba enviando unidades USB maliciosas (también conocidas como BadUSB) a objetivos comerciales estadounidenses en las industrias de transporte, seguros y defensa para infectar sistemas con malware, incluido ransomware.
Las intrusiones recientes protagonizadas por el actor desde 2020 han implicado el despliegue de un gran marco de puerta trasera de PowerShell llamado POWERPLANT, lo que continúa con la inclinación del grupo por usar malware basado en PowerShell para sus operaciones ofensivas.
«No hay duda al respecto, PowerShell es el lenguaje de amor de FIN7», dijeron los investigadores de Mandiant.
En uno de los ataques, se observó que FIN7 comprometía un sitio web que vende productos digitales para modificar múltiples enlaces de descarga para que apunten a un cubo de Amazon S3 que albergaba versiones troyanizadas que contenían Atera Agent, una herramienta legítima de administración remota, que luego entregó POWERPLANT. al sistema de la víctima.
El ataque a la cadena de suministro también marca la evolución del oficio del grupo para el acceso inicial y el despliegue de cargas útiles de malware de primera etapa, que generalmente se han centrado en esquemas de phishing.
Otras herramientas utilizadas por el grupo para facilitar sus infiltraciones incluyen EASYLOOK, una utilidad de reconocimiento; BOATLAUNCH, un módulo auxiliar diseñado para eludir la interfaz de análisis antimalware de Windows (AMSI); y BIRDWATCH, un descargador basado en .NET empleado para obtener y ejecutar archivos binarios de próxima etapa recibidos a través de HTTP.
«A pesar de las acusaciones de miembros de FIN7 en 2018 y una sentencia relacionada en 2021 anunciada por el Departamento de Justicia de EE. UU., al menos algunos miembros de FIN7 se han mantenido activos y continúan desarrollando sus operaciones criminales con el tiempo», dijeron los investigadores de Mandiant.
«A lo largo de su evolución, FIN7 ha aumentado la velocidad de su ritmo operativo, el alcance de sus objetivos e incluso posiblemente sus relaciones con otras operaciones de ransomware en el mundo ciberdelincuente».