{"id":1280467,"date":"2024-07-17T14:20:38","date_gmt":"2024-07-17T14:20:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-fin7-anuncia-una-herramienta-para-eludir-la-seguridad-en-foros-de-la-dark-web\/"},"modified":"2024-07-17T14:20:43","modified_gmt":"2024-07-17T14:20:43","slug":"el-grupo-fin7-anuncia-una-herramienta-para-eludir-la-seguridad-en-foros-de-la-dark-web","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-fin7-anuncia-una-herramienta-para-eludir-la-seguridad-en-foros-de-la-dark-web\/","title":{"rendered":"El grupo FIN7 anuncia una herramienta para eludir la seguridad en foros de la Dark Web"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/El-grupo-FIN7-anuncia-una-herramienta-para-eludir-la-seguridad.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha observado que el actor de amenazas con motivaciones financieras conocido como FIN7 utiliza m\u00faltiples seud\u00f3nimos en varios foros clandestinos para probablemente publicitar una herramienta que se sabe que es utilizada por grupos de ransomware como Black Basta.<\/p>\n<p>&#8220;AvNeutralizer (tambi\u00e9n conocido como AuKill), una herramienta altamente especializada desarrollada por FIN7 para manipular las soluciones de seguridad, se ha comercializado en el mundo criminal clandestino y ha sido utilizada por m\u00faltiples grupos de ransomware&#8221;, dijo la empresa de ciberseguridad SentinelOne. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/fin7-reboot-cybercrime-gang-enhances-ops-with-new-edr-bypasses-and-automated-attacks\/\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>FIN7, un grupo de delitos electr\u00f3nicos de origen ruso y ucraniano, ha sido una amenaza persistente desde al menos 2012, cambiando de rumbo desde su objetivo inicial de terminales de puntos de venta (PoS) a actuar como un afiliado de ransomware para bandas ahora desaparecidas como REvil y Conti, antes de lanzar sus propios programas de ransomware como servicio (RaaS) DarkSide y BlackMatter.<\/p>\n<p>El actor de amenazas, que tambi\u00e9n es rastreado bajo los nombres de Carbanak, Carbon Spider, Gold Niagara y Sangria Tempest (anteriormente Elbrus), tiene antecedentes de crear empresas fachada como Combi Security y Bastion Secure para reclutar ingenieros de software involuntarios en esquemas de ransomware con el pretexto de realizar pruebas de penetraci\u00f3n.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Apple-elimina-aplicaciones-VPN-de-la-App-Store-rusa-ante.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>A lo largo de los a\u00f1os, FIN7 ha demostrado un alto nivel de adaptabilidad, sofisticaci\u00f3n y experiencia t\u00e9cnica al reestructurar su arsenal de malware (POWERTRASH, DICELOADER (tambi\u00e9n conocido como IceBot, Lizar o Tirion) y una herramienta de prueba de penetraci\u00f3n llamada Core Impact que se entrega a trav\u00e9s del cargador POWERTRASH), a pesar de los arrestos y sentencias de <a rel=\"nofollow noopener\" href=\"https:\/\/www.justice.gov\/usao-wdwa\/united-states-vs-fedir-oleksiyovych-hladyr-united-states-vs-dmytro-valerievich-fedorov\" target=\"_blank\">Algunos de sus miembros<\/a>.<\/p>\n<p>Esto se evidencia en las campa\u00f1as de phishing a gran escala llevadas a cabo por el grupo para distribuir ransomware y otras familias de malware mediante el despliegue de miles de dominios &#8220;shell&#8221; que imitan empresas leg\u00edtimas de medios y tecnolog\u00eda, seg\u00fan un informe reciente de Silent Push.<\/p>\n<p>Alternativamente, estos dominios de shell se han utilizado ocasionalmente en una cadena de redireccionamiento convencional para enviar a los usuarios a p\u00e1ginas de inicio de sesi\u00f3n falsificadas que se hacen pasar por portales de administraci\u00f3n de propiedades.<\/p>\n<p>Estas versiones de typosquat se anuncian en motores de b\u00fasqueda como Google, enga\u00f1ando a los usuarios que buscan software popular para que descarguen una variante cargada de malware. Algunas de las herramientas atacadas incluyen 7-Zip, PuTTY, AIMP, Notepad++, Advanced IP Scanner, AnyDesk, pgAdmin, AutoDesk, Bitwarden, Rest Proxy, Python, Sublime Text y Node.js.<\/p>\n<p>Vale la pena se\u00f1alar que el uso de t\u00e1cticas de malvertising por parte de FIN7 fue destacado previamente por eSentire y Malwarebytes en mayo de 2024, y las cadenas de ataque llevaron a la implementaci\u00f3n de NetSupport RAT.<\/p>\n<p>&#8220;FIN7 alquila una gran cantidad de IP dedicadas en varios hosts, pero principalmente en <a rel=\"nofollow noopener\" href=\"https:\/\/krebsonsecurity.com\/2024\/05\/stark-industries-solutions-an-iron-hammer-in-the-cloud\/\" target=\"_blank\">Industrias Stark<\/a>un popular proveedor de alojamiento a prueba de balas que ha sido vinculado a ataques DDoS en Ucrania y en toda Europa&#8221;, Silent Push <a rel=\"nofollow noopener\" href=\"https:\/\/www.silentpush.com\/blog\/fin7\/\" target=\"_blank\">anotado<\/a>.<\/p>\n<p>Los \u00faltimos hallazgos de SentinelOne muestran que FIN7 no solo ha utilizado varias personas en foros de delitos cibern\u00e9ticos para promover la venta de AvNeutralizer, sino que tambi\u00e9n ha improvisado la herramienta con nuevas capacidades.<\/p>\n<p>Esto se basa en el hecho de que varios grupos de ransomware comenzaron a utilizar versiones actualizadas del programa de deterioro de EDR a partir de enero de 2023, que hasta entonces era utilizado exclusivamente por el grupo Black Basta.<\/p>\n<p>El investigador de SentinelLabs Antonio Cocomazzi dijo a The Hacker News que la publicidad de AvNeutralizer en foros clandestinos no deber\u00eda tratarse como una nueva t\u00e1ctica de malware como servicio (MaaS) adoptada por FIN7 sin evidencia adicional.<\/p>\n<p>&#8220;FIN7 tiene un historial de desarrollo y uso de herramientas sofisticadas para sus propias operaciones&#8221;, dijo Cocomazzi. &#8220;Sin embargo, la venta de herramientas a otros cibercriminales podr\u00eda verse como una evoluci\u00f3n natural de sus m\u00e9todos para diversificarse y generar ingresos adicionales&#8221;.<\/p>\n<p>&#8220;Hist\u00f3ricamente, FIN7 ha utilizado mercados clandestinos para generar ingresos. Por ejemplo, el Departamento de Justicia <a rel=\"nofollow noopener\" href=\"https:\/\/www.justice.gov\/opa\/pr\/three-members-notorious-international-cybercrime-group-fin7-custody-role-attacking-over-100\" target=\"_blank\">reportado<\/a> que desde 2015, FIN7 rob\u00f3 con \u00e9xito datos de m\u00e1s de 16 millones de tarjetas de pago, muchas de las cuales se vendieron en mercados clandestinos. Si bien esto era m\u00e1s com\u00fan en la era anterior al ransomware, el anuncio actual de AvNeutralizer podr\u00eda indicar un cambio o expansi\u00f3n en su estrategia&#8221;.<\/p>\n<p>&#8220;Esto podr\u00eda deberse a las mayores protecciones que ofrecen las soluciones EDR actuales en comparaci\u00f3n con los sistemas antivirus anteriores. A medida que estas defensas han mejorado, la demanda de herramientas de desactivaci\u00f3n como AvNeutralizer ha crecido significativamente, especialmente entre los operadores de ransomware. Los atacantes ahora enfrentan desaf\u00edos m\u00e1s dif\u00edciles para eludir estas protecciones, lo que hace que dichas herramientas sean muy valiosas y costosas&#8221;.<\/p>\n<p>Por su parte, la versi\u00f3n actualizada de AvNeutralizer emplea t\u00e9cnicas anti-an\u00e1lisis y, lo m\u00e1s importante, aprovecha un controlador integrado de Windows llamado &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/deep-dive-into-the-ttd-ecosystem\" target=\"_blank\">ProcLaunchMon.sys<\/a>&#8221; en conjunci\u00f3n con el <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/sysinternals\/downloads\/process-explorer\" target=\"_blank\">Explorador de procesos<\/a> controlador para manipular el funcionamiento de las soluciones de seguridad y evadir la detecci\u00f3n. Se cree que la herramienta ha estado en desarrollo activo desde abril de 2022.<\/p>\n<p>El Grupo Lazarus tambi\u00e9n ha utilizado una versi\u00f3n similar de este enfoque, haci\u00e9ndolo a\u00fan m\u00e1s peligroso ya que va m\u00e1s all\u00e1 de un ataque tradicional de Traiga su propio controlador vulnerable (BYOVD) al convertir en arma un controlador susceptible que ya est\u00e1 presente de manera predeterminada en las m\u00e1quinas con Windows.<\/p>\n<p>Otra actualizaci\u00f3n notable se refiere a la plataforma Checkmarks de FIN7, que ha sido modificada para incluir un m\u00f3dulo de ataque de inyecci\u00f3n SQL automatizado para explotar aplicaciones p\u00fablicas.<\/p>\n<p>&#8220;En sus campa\u00f1as, FIN7 ha adoptado m\u00e9todos de ataque automatizados, que apuntan a servidores p\u00fablicos mediante ataques de inyecci\u00f3n SQL automatizados&#8221;, afirm\u00f3 SentinelOne. &#8220;Adem\u00e1s, el desarrollo y la comercializaci\u00f3n de herramientas especializadas como AvNeutralizer en foros clandestinos delictivos mejoran significativamente el impacto del grupo&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/fin7-group-advertises-security.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha observado que el actor de amenazas con motivaciones financieras conocido como FIN7 utiliza m\u00faltiples seud\u00f3nimos en<\/p>\n","protected":false},"author":1,"featured_media":1280468,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,479,4661,4664,6862,11454,4662,43251,42272,2386,1086,4668,4667,239182,4654,239508,4658,4659,4653,18,42,4666,4665,158,239484,3261],"class_list":["post-1280467","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-anuncia","tag-ataques-ciberneticos","tag-como-hackear","tag-dark","tag-eludir","tag-filtracion-de-datos","tag-fin7","tag-foros","tag-grupo","tag-herramienta","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-seguridad","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-vulnerabilidad-del-software","tag-web"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1280467","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1280467"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1280467\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1280468"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1280467"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1280467"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1280467"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}