{"id":538283,"date":"2022-12-22T14:42:28","date_gmt":"2022-12-22T14:42:28","guid":{"rendered":"https:\/\/teknomers.com\/es\/fin7-cybercrime-syndicate-surge-como-actor-principal-en-el-panorama-del-ransomware\/"},"modified":"2022-12-22T14:42:30","modified_gmt":"2022-12-22T14:42:30","slug":"fin7-cybercrime-syndicate-surge-como-actor-principal-en-el-panorama-del-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/fin7-cybercrime-syndicate-surge-como-actor-principal-en-el-panorama-del-ransomware\/","title":{"rendered":"FIN7 Cybercrime Syndicate surge como actor principal en el panorama del ransomware"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Un an\u00e1lisis exhaustivo de FIN7<\/strong> ha desenmascarado la jerarqu\u00eda organizacional del sindicato del crimen cibern\u00e9tico, adem\u00e1s de desentra\u00f1ar su papel como afiliado para montar ataques de ransomware.<\/p>\n

Tambi\u00e9n ha expuesto asociaciones m\u00e1s profundas entre el grupo y el ecosistema de amenazas m\u00e1s grande que comprende las familias de ransomware DarkSide, REvil y LockBit, ahora desaparecidas.<\/p>\n

El grupo de amenazas altamente activo, tambi\u00e9n conocido como Carbanak, es conocido por emplear un amplio arsenal de herramientas y t\u00e1cticas para expandir sus “horizontes de ciberdelincuencia”, incluida la adici\u00f3n de ransomware a su libro de jugadas y la creaci\u00f3n de empresas de seguridad falsas para atraer a los investigadores a realizar ataques de ransomware bajo el disfraz de las pruebas de penetraci\u00f3n.<\/p>\n

M\u00e1s de 8147 v\u00edctimas se han visto comprometidas por el adversario motivado financieramente en todo el mundo, con la mayor\u00eda de las entidades ubicadas en los EE. UU. Otros pa\u00edses destacados incluyen China, Alemania, Canad\u00e1, Italia y el Reino Unido.<\/p>\n

Las t\u00e9cnicas de intrusi\u00f3n de FIN7, a lo largo de los a\u00f1os, se han diversificado m\u00e1s all\u00e1 de la ingenier\u00eda social tradicional para incluir unidades USB infectadas, el compromiso de la cadena de suministro de software y el uso de credenciales robadas compradas en mercados clandestinos.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Hoy en d\u00eda, su enfoque inicial es elegir cuidadosamente empresas de alto valor del grupo de sistemas empresariales ya comprometidos y obligarlos a pagar grandes rescates para restaurar sus datos o buscar formas \u00fanicas de monetizar los datos y el acceso remoto”, PRODAFT dijo<\/a> en un informe compartido con The Hacker News.<\/p>\n

Seg\u00fan la compa\u00f1\u00eda suiza de ciberseguridad, tambi\u00e9n se ha observado que los actores de amenazas utilizan fallas en Microsoft Exchange como CVE-2020-0688, CVE-2021-42321, ProxyLogon y ProxyShell en Microsoft Exchange Server para obtener un punto de apoyo en los entornos de destino. .<\/p>\n

\"Sindicato<\/div>\n

A pesar del uso de t\u00e1cticas de doble extorsi\u00f3n, los ataques organizados por el grupo han desplegado puertas traseras en los sistemas comprometidos, incluso en escenarios en los que la v\u00edctima ya ha pagado un rescate.<\/p>\n

La idea es revender el acceso a otros equipos de ransomware y volver a apuntar a las v\u00edctimas como parte de su esquema il\u00edcito de obtenci\u00f3n de dinero, lo que subraya sus intentos de minimizar los esfuerzos y maximizar las ganancias, sin mencionar la prioridad de las empresas en funci\u00f3n de sus ingresos anuales, fechas de fundaci\u00f3n, y el n\u00famero de empleados.<\/p>\n

Esto “demuestra un tipo particular de estudio de factibilidad considerado un comportamiento \u00fanico entre los grupos de delitos cibern\u00e9ticos”, dijeron los investigadores.<\/p>\n

\"Sindicato<\/div>\n

Dicho de otra manera, el modus operandi de FIN7 se reduce a esto: utiliza servicios como Dun & Bradstreet (DNB<\/a>), Crunchbase, Owler y Zoominfo para preseleccionar empresas y organizaciones con los ingresos m\u00e1s altos. Tambi\u00e9n utiliza otras plataformas de an\u00e1lisis de sitios web como MuStat y Similarweb para monitorear el tr\u00e1fico a los sitios de las v\u00edctimas.<\/p>\n

Luego, el acceso inicial se obtiene a trav\u00e9s de uno de los muchos vectores de intrusi\u00f3n, seguido de la filtraci\u00f3n de datos, el cifrado de archivos y, finalmente, la determinaci\u00f3n del monto del rescate en funci\u00f3n de los ingresos de la empresa.<\/p>\n

\"Sindicato<\/div>\n

Estas secuencias de infecci\u00f3n tambi\u00e9n est\u00e1n dise\u00f1adas para cargar los troyanos de acceso remoto como Carbanak, Lizar (tambi\u00e9n conocido como Tirion) y HieloBot<\/a>el \u00faltimo de los cuales fue documentado por primera vez por Gemini Advisory, propiedad de Recorded Future, en enero de 2022.<\/p>\n

Otras herramientas desarrolladas por FIN7 abarcan m\u00f3dulos para automatizar escaneos de servidores Microsoft Exchange vulnerables y otras aplicaciones web p\u00fablicas, as\u00ed como Cobalt Strike para post-explotaci\u00f3n.<\/p>\n

En otra indicaci\u00f3n m\u00e1s de que los grupos criminales funcionan como empresas tradicionales, FIN7 sigue una estructura de equipo que consiste en equipos de gesti\u00f3n de alto nivel, desarrolladores, pentesters, afiliados y marketing, cada uno de los cuales tiene responsabilidades individuales.<\/p>\n

Mientras que dos miembros llamados Alex y Rash son los principales actores detr\u00e1s de la operaci\u00f3n, un tercer miembro administrativo llamado Sergey-Oleg es responsable de delegar funciones a los otros asociados del grupo y supervisar su ejecuci\u00f3n.<\/p>\n

Sin embargo, tambi\u00e9n se ha observado que los operadores en cargos administrativos practican la coerci\u00f3n y el chantaje para intimidar a los miembros del equipo para que trabajen m\u00e1s y dan ultim\u00e1tum para “perjudicar a sus familiares en caso de renunciar o escapar de sus responsabilidades”.<\/p>\n

Los hallazgos se producen m\u00e1s de un mes despu\u00e9s de que la empresa de ciberseguridad SentinelOne identificara v\u00ednculos potenciales entre FIN7 y la operaci\u00f3n de ransomware Black Basta.<\/p>\n

“FIN7 se ha consolidado como un grupo APT extraordinariamente vers\u00e1til y conocido que se dirige a empresas empresariales”, concluy\u00f3 PRODAFT.<\/p>\n

“Su movimiento caracter\u00edstico es investigar a fondo las empresas en funci\u00f3n de sus ingresos, el n\u00famero de empleados, la sede y la informaci\u00f3n del sitio web para identificar los objetivos m\u00e1s rentables. Aunque tienen problemas internos relacionados con la distribuci\u00f3n desigual de los recursos monetarios obtenidos y pr\u00e1cticas un tanto cuestionables hacia sus miembros. , han logrado establecer una fuerte presencia en la esfera del cibercrimen”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n