THESAS2019

FIN7: nonostante gli arresti, l’attività continua

Sebbene sia stato arrestato il presunto leader della cybergang FIN7, continuiamo a registrare attività dannosa.

Marvin the Robot
9 Mag 2019

Lo scorso anno, Europol e il Dipartimento di Giustizia statunitense hanno arrestato numerosi cybercriminali, sospettati di essere i leader dei gruppi di cybercriminali FIN7 e Carbanak. I media hanno dato queste cybergang per smantellate, eppure i nostri esperti continuano a registrare segnali di attività. Inoltre, aumenta anche il numero di gruppi interconnessi che impiegano toolkit simili o le stesse infrastrutture. Qui di seguito vi proponiamo i principali strumenti e trucchi in uso e anche qualche consiglio per proteggere il vostro business.

FIN7

Il gruppo FIN7 è specializzato nell’attacco ad aziende o infrastrutture PoS per il furto di dati finanziari. Il gruppo opera mediante campagne di spear phishing con metodi sofisticati di ingegneria sociale. Ad esempio, prima di inviare documenti dannosi possono scambiare anche decine di messaggi normali con le vittime per far abbassare loro la guardia.

Nella maggior parte dei casi, negli attacchi sono stati utilizzati documenti dannosi contenenti macro per installare malware sul computer della vittima e sono state programmate delle operazioni affinché il malware rimanesse sempre attivo. Il malware poi riceveva dei moduli per eseguirli nella memoria del sistema; in particolare, abbiamo constatato che ci sono moduli per raccogliere informazioni, scaricare malware aggiuntivi, catturare schermate. Inoltre, all’interno del registro, può essere immagazzinata un’altra istanza dello stesso malware, nel caso venisse scoperta la prima. E, naturalmente, i cybercriminali potevano creare moduli aggiuntivi in qualsiasi momento.

Il gruppo CobaltGoblin/Carbanak/EmpireMonkey

Altri cybercriminali utilizzano tool e tecniche simili, la differenza sta solo negli obiettivi: in questo caso, parliamo di banche e sviluppatori di software bancari e di gestione del denaro. La strategia principale del gruppo Carbanak (ma anche di CobaltGoblin o EmpireMonkey) è di farsi strada nelle reti delle vittime per poi trovare endpoint interessanti da cui ricavare informazioni di valore.

La botnet AveMaria

AveMaria è una nuova botnet utilizzata per rubare informazioni. Dopo l’infezione del dispositivo, si iniziano a raccogliere tutte le possibili credenziali dai vari software (browser, client e-mail, app di messaggistica etc). Inoltre, la botnet fa anche da keylogger.

Per infettare il dispositivo con il payload, i cybercriminali utilizzano spear phishing, ingegneria sociale e allegati dannosi. I nostri esperti sospettano che ci sia una connessione con FIN7 per via delle somiglianze a livello di metodi di attacco e nell’infrastruttura command-and-control (C&C). Un altro indicatore di interconnessione si riferisce alla distribuzione degli obiettivi: il 30% delle vittime sono PMI che forniscono servizi ad aziende più grandi, mentre il 21% appartiene al settore manifatturiero

CopyPaste

I nostri esperti hanno scoperto una serie di attività dal nome in codice CopyPaste che colpiva entità e compagnie finanziare di un paese africano. I cybecriminali hanno utilizzato diversi metodi e tool simili a quelli impiegati da FIN7, anche se è possibile che si siano solo serviti di pubblicazioni open source e che non abbiano quindi alcun legame con FIN7.

Per maggiori dettagli tecnici, tra cui gli indicatori di compromissione, vi invitiamo a leggere il nostro post su Securelist.com.

Come difendersi

Avvaletevi di soluzioni di sicurezza che dispongano di una funzionalità specifica per l’identificazione e il blocco dei tentativi di phishing. Le aziende possono proteggere i propri sistemi e-mail on premise con applicazioni dedicate, che si trovano all’interno di Kaspersky Endpoint Security for Business;
Organizzate in azienda formazioni sulla security awareness per insegnare abilità pratiche sull’argomento. Programmi come Kaspersky Automated Security Awareness Platform aiutano a rinforzare certe abilità e a condurre simulazioni di attacchi di phishing;
Tutti i gruppi menzionati in questo post approfittano di sistemi negli ambienti aziendali su cui non sono state installate le dovute patch. Per limitare la loro libertà d’azione, adottate una strategia di patching ben definita e una soluzione di sicurezza come Kaspersky Endpoint Security for Business, che installa automaticamente le patch fondamentali per i vostri software.

Il vero valore della privacy: i consumatori si “svendono” senza pensarci troppo?

Gli utenti danno importanza alla propria privacy ma non la proteggono adeguatamente, e sono disposti a “vendere” senza troppi problemi i propri dati se ben ripagati. Queste e altre informazioni importanti nel report di Kaspersky Lab.

Privacy e bambini

SOLUZIONI TARGETED SECURITY

ENTERPRISE SOLUTIONS

FIN7: nonostante gli arresti, l’attività continua

FIN7

Il gruppo CobaltGoblin/Carbanak/EmpireMonkey

La botnet AveMaria

CopyPaste

Come difendersi

Nuovi dettagli su ShadowHammer

ShadowHammer: aggiornamenti dannosi per i portatili ASUS

Il vero valore della privacy: i consumatori si “svendono” senza pensarci troppo?

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Iscriviti per ricevere le nostre notizie via e-mail

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia