FIN7: nonostante gli arresti, l’attività continua

9 Mag 2019

Lo scorso anno, Europol e il Dipartimento di Giustizia statunitense hanno arrestato numerosi cybercriminali, sospettati di essere i leader dei gruppi di cybercriminali FIN7 e Carbanak. I media hanno dato queste cybergang per smantellate, eppure i nostri esperti continuano a registrare segnali di attività. Inoltre, aumenta anche il numero di gruppi interconnessi che impiegano toolkit simili o le stesse infrastrutture. Qui di seguito vi proponiamo i principali strumenti e trucchi in uso e anche qualche consiglio per proteggere il vostro business.

FIN7

Il gruppo FIN7 è specializzato nell’attacco ad aziende o infrastrutture PoS per il furto di dati finanziari. Il gruppo opera mediante campagne di spear phishing con metodi sofisticati di ingegneria sociale. Ad esempio, prima di inviare documenti dannosi possono scambiare anche decine di messaggi normali con le vittime per far abbassare loro la guardia.

Nella maggior parte dei casi, negli attacchi sono stati utilizzati documenti dannosi contenenti macro per installare malware sul computer della vittima e sono state programmate delle operazioni affinché il malware rimanesse sempre attivo. Il malware poi riceveva dei moduli per eseguirli nella memoria del sistema; in particolare, abbiamo constatato che ci sono moduli per raccogliere informazioni, scaricare malware aggiuntivi, catturare schermate. Inoltre, all’interno del registro, può essere immagazzinata un’altra istanza dello stesso malware, nel caso venisse scoperta la prima. E, naturalmente, i cybercriminali potevano creare moduli aggiuntivi in qualsiasi momento.

Il gruppo CobaltGoblin/Carbanak/EmpireMonkey

Altri cybercriminali utilizzano tool e tecniche simili, la differenza sta solo negli obiettivi: in questo caso, parliamo di banche e sviluppatori di software bancari e di gestione del denaro. La strategia principale del gruppo Carbanak (ma anche di CobaltGoblin o EmpireMonkey) è di farsi strada nelle reti delle vittime per poi trovare endpoint interessanti da cui ricavare informazioni di valore.

La botnet AveMaria

AveMaria è una nuova botnet utilizzata per rubare informazioni. Dopo l’infezione del dispositivo, si iniziano a raccogliere tutte le possibili credenziali dai vari software (browser, client e-mail, app di messaggistica etc). Inoltre, la botnet fa anche da keylogger.

Per infettare il dispositivo con il payload, i cybercriminali utilizzano spear phishing, ingegneria sociale e allegati dannosi. I nostri esperti sospettano che ci sia una connessione con FIN7 per via delle somiglianze a livello di metodi di attacco e nell’infrastruttura command-and-control (C&C). Un altro indicatore di interconnessione si riferisce alla distribuzione degli obiettivi: il 30% delle vittime sono PMI che forniscono servizi ad aziende più grandi, mentre il 21% appartiene al settore manifatturiero

CopyPaste

I nostri esperti hanno scoperto una serie di attività dal nome in codice CopyPaste che colpiva entità e compagnie finanziare di un paese africano. I cybecriminali hanno utilizzato diversi metodi e tool simili a quelli impiegati da FIN7, anche se è possibile che si siano solo serviti di pubblicazioni open source e che non abbiano quindi alcun legame con FIN7.

Per maggiori dettagli tecnici, tra cui gli indicatori di compromissione, vi invitiamo a leggere il nostro post su Securelist.com.

Come difendersi

  • Avvaletevi di soluzioni di sicurezza che dispongano di una funzionalità specifica per l’identificazione e il blocco dei tentativi di phishing. Le aziende possono proteggere i propri sistemi e-mail on premise con applicazioni dedicate, che si trovano all’interno di Kaspersky Endpoint Security for Business;
  • Organizzate in azienda formazioni sulla security awareness per insegnare abilità pratiche sull’argomento. Programmi come Kaspersky Automated Security Awareness Platform aiutano a rinforzare certe abilità e a condurre simulazioni di attacchi di phishing;
  • Tutti i gruppi menzionati in questo post approfittano di sistemi negli ambienti aziendali su cui non sono state installate le dovute patch. Per limitare la loro libertà d’azione, adottate una strategia di patching ben definita e una soluzione di sicurezza come Kaspersky Endpoint Security for Business, che installa automaticamente le patch fondamentali per i vostri software.