Después de que en 2018 fueran detenidos numerosos líderes del infame grupo Fin7/ Carbanak, se creía que la organización se había disuelto. Sin embargo, investigadores de Kaspersky Lab han detectado nuevos ataques perpetrados por los mismos grupos en fechas recientes utilizando el software malicioso, GRIFFON.

Según los expertos de la compañía, el número de grupos que operan bajo el paraguas de Fin7 podría haber aumentado. Asimismo, la organización puede haber recurrido a métodos más sofisticados e incluso haberse posicionado como vendedor legítimo de software de seguridad para así poder reclutar y engañar a empleados profesionales para que estos le ayuden a sustraer activos financieros.

Se sospecha que, desde mediados de 2015, Fin7 ha perpetrado ataques contra los sectores de distribución, restauración y hostelería norteamericanos, trabajando en estrecha colaboración e intercambiando métodos y herramientas con el temido grupo Carbanak. Mientras este grupo atacaba en mayor medida a entidades bancarias, Fin7 se centraba en empresas, potencialmente generando pérdidas millonarias, mediante la sustracción de los datos de tarjetas de pago o la información de cuentas bancarias almacenada en los departamentos financieros, para después transferir dinero por vía telemática a cuentas en otras jurisdicciones.

Según la nueva investigación de Kaspersky, el grupo continuó su actividad a pesar de la detención el año pasado de sus presuntos líderes, desarrollando campañas sofisticadas de spear phishing a lo largo de 2018 y distribuyendo malware por medio del envío de emails dirigidos. En otros casos, los ciberdelincuentes intercambiaron mensajes con los usuarios a lo largo de varias semanas antes de enviarles emails con archivos maliciosos. Kaspersky Lab estima que antes de finales de 2018, más de 130 empresas podrían haber sido blanco de estos ataques.

El equipo de investigación de Kaspersky Lab también ha descubierto otras bandas de ciberdelincuentes que operaban bajo el paraguas de Fin7. La utilización de una infraestructura compartida y de las mismas técnicas, tácticas y procedimientos (TTPs) prueba que Fin7 probablemente haya colaborado con el botnet AveMaria; así como con los grupos que se identifican como CobaltGoblin/EmpireMonkey -presuntos responsables de robos bancarios perpetrados en Europa y América Central-. Kaspersky Lab también ha descubierto que Fin7 creó una compañía falsa que simulaba ser un vendedor legítimo de soluciones de ciberseguridad con oficinas en toda la geografía rusa. La página web de la empresa está registrada en el servidor que Fin7 utiliza como centro de Comando y Control (C&C). La empresa falsa se utilizó para engañar a investigadores, desarrolladores de programas e intérpretes a través de páginas de empleo legítimas para que se incorporasen a la plantilla. Al parecer, algunos de los empleados que fueron contratados por estas empresas ficticias no sospecharon de estar participando en el negocio de cibercrimen. Curiosamente, muchos de ellos hasta incluyeron en su currículum la experiencia de haber trabajado en estas organizaciones.

Yury Namestnikov, investigador de seguridad de Kaspersky Lab, ha comentado, “Las ciberamenazas modernas pueden compararse con la criatura mítica, la Hidra de Lerna, que cuando se cortaba una de sus cabezas, en su lugar crecían dos nuevas. Por tanto, la mejor manera de protegerse ante estos atacantes es por medio de la adopción de protección avanzada multicapa: instale todos los parches de software tan pronto como estén disponibles y analice de forma regular la seguridad en todas las redes, sistemas y dispositivos”.

Para minimizar el riesgo de infección, se recomienda:

• Utilice soluciones de seguridad con funcionalidades específicas para la detección y bloqueo de intentos de phishing. Las empresas pueden proteger sus sistemas de email internos con aplicaciones a medida de la familia de productos Kaspersky Endpoint Security for Business. Kaspersky Security for Microsoft Office 365 ofrece protección para el servicio de correo electrónico basado en la nube, Exchange Online, de la familia Microsoft Office 365.
• Imparta formación en seguridad, incluyendo conocimientos prácticos. Los programas como Kaspersky Automated Security Awareness Platform ayudan a reforzar conocimientos y a simular ataques de phishing.
• Provea a su equipo de seguridad de visibilidad exhaustiva de las amenazas, para que estén al tanto de las últimas tácticas utilizadas por los ciberdelincuentes.