Según expertos de la compañía, Fin7 podría haber ampliado el número de grupos que funcionan bajo su paraguas e incrementado la complejidad de sus métodos. Incluso, podría haberse posicionado como proveedor legítimo de seguridad con el fin de reclutar empleados profesionales y engañarles para que le ayuden a robar bienes financieros.

Se cree que Fin7 está detrás de los ataques dirigidos a sectores minoristas, restaurantes y hotelería de EE.UU. desde mediados de 2015, trabajando en estrecha colaboración y compartiendo herramientas y métodos con el famoso grupo Carbanak. Si bien Carbanak se enfocaba principalmente en los bancos, Fin7 tenía como principal objetivo las empresas, y potencialmente logró hacerse de millones de dólares en bienes financieros, como credenciales de tarjetas de pago o información de las cuentas en las computadoras de los departamentos financieros. Una vez obtenido lo que necesitaban, los agentes de amenazas transferían dinero a cuentas en el extranjero.

Según la nueva investigación, a pesar de la detención el año pasado de presuntos líderes del grupo, este ha continuado su actividad, implementando campañas complejas de phishing a lo largo de 2018 y distribuyendo malware a cada uno de sus objetivos a través de correos electrónicos especialmente diseñados. En diferentes casos, los operadores intercambiaron mensajes con sus víctimas por varias semanas antes de enviar finalmente los documentos maliciosos como archivos adjuntos. Kaspersky Lab estima que para fines de 2018 más de 130 compañías podrían haber sido atacadas de esta manera.

Los investigadores también descubrieron otros equipos de criminales que operan bajo el paraguas de Fin7. El uso de la infraestructura compartida y las mismas tácticas, técnicas y procedimientos (TTPs) muestra que Fin7 probablemente esté colaborando con la botnet AveMaria y los grupos conocidos como CobaltGoblin/EmpireMonkey, que se cree están detrás de los robos a bancos en Europa y Centroamérica.

 

 

También se descubrió que Fin7 ha creado una empresa falsa que afirma ser proveedora legítima de ciberseguridad con oficinas en toda Rusia. El sitio web de la empresa está inscrito en el servidor que Fin7 utiliza como Centro de Mando y Control (C&C). Esta empresa falsa se ha utilizado para reclutar investigadores independientes de vulnerabilidades, programadores e intérpretes a través de sitios legítimos en línea para búsqueda de empleo. Al parecer, varias de las personas que trabajan en estas empresas falsas no sospechaban que estaban involucradas en un negocio dedicado al ciberdelito, ya que muchas de ellas incluyen en su currículum vitae la experiencia de trabajo en esas organizaciones.

Fuente: Kaspersky Lab

Compartir