Grupo FIN7

Tras el arresto en 2018 de los presuntos líderes de la organización cibercriminal Fin7 / Carbanak, se creía que el grupo se había disuelto. Pero los investigadores de Kaspersky Lab han detectado una serie de nuevos ataques por parte de los mismos grupos utilizando el malware Griffon. Según los expertos de la compañía, Fin7 podría haber ampliado el número de grupos que operan bajo su paraguas, habría incrementado la sofisticación de sus métodos, e incluso se habría posicionado como un proveedor de seguridad legítimo para reclutar empleados profesionales y engañarlos para ayudarles a robar activos financieros.

Se cree que Fin7 está detrás de los ataques dirigidos a empresas de los sectores retail, restauración y hostelería de los Estados Unidos desde mediados de 2015, trabajando en estrecha colaboración y compartiendo herramientas y métodos con el famoso grupo Carbanak. Si bien Carbanak se enfocó principalmente en los bancos, Fin7 se centró en empresas, y potencialmente logró obtener millones de dólares en activos financieros, como credenciales de tarjetas de pago o información de cuentas en los ordenadores de los departamentos financieros. Una vez que los actores de amenazas obtuvieron lo que necesitaban, transfirieron dinero a cuentas en el extranjero.

Según la nueva investigación de Kaspersky Lab, el grupo ha continuado su actividad, implementando campañas sofisticadas de phishing a lo largo de 2018 y distribuyendo malware a cada objetivo a través de correos electrónicos especialmente diseñados. En diferentes casos, los operadores intercambiaron mensajes con sus víctimas durante un período de semanas antes de enviar finalmente los documentos maliciosos como archivos adjuntos. Kaspersky Lab estima que, a finales de 2018, más de 130 compañías podrían haber sido atacadas de esta manera.

Los investigadores también descubrieron otros equipos criminales que operan bajo el paraguas de Fin7. El uso de la infraestructura compartida y las mismas técnicas y procedimientos tácticos muestra que es probable que Fin7 esté colaborando con la botnet AveMaria y grupos conocidos, como CobaltGoblin / EmpireMonkey, que se cree están detrás de los robos a bancos en Europa y América Central.

Kaspersky Lab también descubrió que Fin7 ha creado una empresa falsa que afirma ser un proveedor legítimo de ciberseguridad con oficinas en toda Rusia. El sitio web de la empresa está registrado en el servidor que Fin7 utiliza como Centro de Comando y Control (C&C). El negocio falso se ha utilizado para reclutar a investigadores de vulnerabilidades independientes, desarrolladores de programas e intérpretes a través de sitios de trabajo legítimos online. Parece que algunas de las personas que trabajan en estas empresas falsas no sospechaban que estaban involucradas en un negocio cibercriminal.

Entradas relacionadas

Dejar un Comentario