{"id":17302,"date":"2019-05-09T12:51:44","date_gmt":"2019-05-09T10:51:44","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17302"},"modified":"2020-11-12T19:57:12","modified_gmt":"2020-11-12T17:57:12","slug":"fin7-still-exists","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/fin7-still-exists\/17302\/","title":{"rendered":"FIN7: nonostante gli arresti, l’attivit\u00e0 continua"},"content":{"rendered":"

Lo scorso anno, Europol e il Dipartimento di Giustizia statunitense hanno arrestato numerosi cybercriminali, sospettati di essere i leader dei gruppi di cybercriminali FIN7 e Carbanak. I media hanno dato queste cybergang per smantellate, eppure i nostri esperti continuano a registrare segnali di attivit\u00e0. Inoltre, aumenta anche il numero di gruppi interconnessi che impiegano toolkit simili o le stesse infrastrutture. Qui di seguito vi proponiamo i principali strumenti e trucchi in uso e anche qualche consiglio per proteggere il vostro business.<\/p>\n\n

FIN7<\/h3>\n

Il gruppo FIN7 \u00e8 specializzato nell\u2019attacco ad aziende o infrastrutture PoS per il furto di dati finanziari. Il gruppo opera mediante campagne di spear phishing con metodi sofisticati di ingegneria sociale. Ad esempio, prima di inviare documenti dannosi possono scambiare anche decine di messaggi normali con le vittime per far abbassare loro la guardia.<\/p>\n

Nella maggior parte dei casi, negli attacchi sono stati utilizzati documenti dannosi contenenti macro per installare malware sul computer della vittima e sono state programmate delle operazioni affinch\u00e9 il malware rimanesse sempre attivo. Il malware poi riceveva dei moduli per eseguirli nella memoria del sistema; in particolare, abbiamo constatato che ci sono moduli per raccogliere informazioni, scaricare malware aggiuntivi, catturare schermate. Inoltre, all\u2019interno del registro, pu\u00f2 essere immagazzinata un\u2019altra istanza dello stesso malware, nel caso venisse scoperta la prima. E, naturalmente, i cybercriminali potevano creare moduli aggiuntivi in qualsiasi momento.<\/p>\n

Il gruppo CobaltGoblin\/Carbanak\/EmpireMonkey<\/h3>\n

Altri cybercriminali utilizzano tool e tecniche simili, la differenza sta solo negli obiettivi: in questo caso, parliamo di banche e sviluppatori di software bancari e di gestione del denaro. La strategia principale del gruppo Carbanak (ma anche di CobaltGoblin o EmpireMonkey) \u00e8 di farsi strada nelle reti delle vittime per poi trovare endpoint interessanti da cui ricavare informazioni di valore.<\/p>\n

La botnet AveMaria<\/h3>\n

AveMaria \u00e8 una nuova botnet utilizzata per rubare informazioni. Dopo l\u2019infezione del dispositivo, si iniziano a raccogliere tutte le possibili credenziali dai vari software (browser, client e-mail, app di messaggistica etc). Inoltre, la botnet fa anche da keylogger.<\/p>\n

Per infettare il dispositivo con il payload, i cybercriminali utilizzano spear phishing, ingegneria sociale e allegati dannosi. I nostri esperti sospettano che ci sia una connessione con FIN7 per via delle somiglianze a livello di metodi di attacco e nell\u2019infrastruttura command-and-control (C&C). Un altro indicatore di interconnessione si riferisce alla distribuzione degli obiettivi: il 30% delle vittime sono PMI che forniscono servizi ad aziende pi\u00f9 grandi, mentre il 21% appartiene al settore manifatturiero<\/p>\n

CopyPaste<\/h3>\n

I nostri esperti hanno scoperto una serie di attivit\u00e0 dal nome in codice CopyPaste che colpiva entit\u00e0 e compagnie finanziare di un paese africano. I cybecriminali hanno utilizzato diversi metodi e tool simili a quelli impiegati da FIN7, anche se \u00e8 possibile che si siano solo serviti di pubblicazioni open source e che non abbiano quindi alcun legame con FIN7.<\/p>\n

Per maggiori dettagli tecnici, tra cui gli indicatori di compromissione, vi invitiamo a leggere il nostro post su Securelist.com<\/a>.<\/p>\n

Come difendersi<\/h3>\n