FIN7 y su evolución: de estafadores de POS a temibles extorsionadores

Especialistas han encontrado nuevas pruebas de que el infame grupo de hackers FIN7 sigue perfeccionando sus métodos de ataque y ampliando su influencia en el submundo criminal. Según las últimas investigaciones, los hackers utilizan múltiples seudónimos para enmascarar su verdadera identidad y mantener sus operaciones delictivas en foros clandestinos.

FIN7 opera desde 2012. Durante este tiempo, ha causado daños significativos en varios sectores de la economía, incluyendo la industria hotelera, la energía, las finanzas, la alta tecnología y el comercio minorista.

Inicialmente, FIN7 utilizaba malware para terminales POS (puntos de venta) con el fin de cometer fraudes financieros. Sin embargo, desde 2020, el grupo cambió su enfoque hacia las operaciones con programas de ransomware, uniéndose a conocidos grupos de RaaS (ransomware como servicio) como REvil y Conti, y lanzando sus propios programas RaaS bajo los nombres de Darkside y BlackMatter.

Una de las características distintivas de FIN7 es la creación de empresas ficticias en el ámbito de la seguridad informática. Así, el grupo fundó compañías falsas como Combi Security y Bastion Secure para engañar.

A pesar de los arrestos de algunos miembros del grupo, las actividades de FIN7 continúan, lo que indica cambios de táctica, pausas temporales o la aparición de subgrupos disidentes.

Nuevos datos muestran que FIN7 vende activamente sus herramientas en foros criminales. En particular, los investigadores encontraron anuncios que ofrecen una herramienta especializada para evadir sistemas de protección llamada AvNeutralizer (también conocida como AuKill).

El análisis de la actividad en varios foros clandestinos reveló varios seudónimos, supuestamente relacionados con FIN7:

• "goodsoft"
• "lefroggy"
• "killerAV"
• "Stupor"

Estos usuarios publicaban anuncios similares sobre la venta de herramientas para evadir sistemas antivirus y marcos de post-explotación.

El arsenal de FIN7 incluye una serie de herramientas sofisticadas, cada una destinada a una etapa específica del ataque:

• Powertrash: un script de PowerShell altamente ofuscado para cargar archivos PE en la memoria de manera reflexiva.
• Diceloader (también conocido como Lizar y IceBot): un backdoor mínimo para establecer un canal de comando y control (C2).
• SSH-based Backdoor: un conjunto de herramientas basado en OpenSSH y 7zip para asegurar acceso persistente a sistemas comprometidos.
• Core Impact: una herramienta comercial para pruebas de penetración utilizada por FIN7 para explotar vulnerabilidades.
• AvNeutralizer: una herramienta especializada para evadir soluciones de seguridad.

Una evolución interesante de la herramienta AvNeutralizer es que su última versión utiliza una técnica desconocida anteriormente para evadir algunas implementaciones de procesos protegidos, utilizando el controlador incorporado de Windows ProcLaunchMon.sys (TTD Monitor Driver).

FIN7 también ha desarrollado un sistema automatizado de ataques llamado Checkmarks. Esta plataforma se enfoca principalmente en explotar servidores Microsoft Exchange accesibles públicamente, utilizando vulnerabilidades ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207).

Además, la plataforma Checkmarks incluye un módulo Auto-SQLi para ataques con inyecciones SQL. Si los intentos iniciales no tienen éxito, la herramienta SQLMap escanea objetivos en busca de posibles vulnerabilidades de inyección SQL.

Los investigadores descubrieron numerosas intrusiones utilizando vulnerabilidades de inyección SQL, dirigidas a servidores públicos a través de explotación automatizada. Estos ataques se atribuyen a FIN7 con un grado medio de certeza. La mayoría de estas intrusiones ocurrieron en 2022, especialmente en el tercer trimestre, afectando a empresas estadounidenses en los sectores manufacturero, legal y gubernamental.

Las acciones de explotación observadas incluyen el uso de PowerShell droppers con varios niveles de ofuscación, que finalmente conducen a la descarga y ejecución de cargas maliciosas.

El estudio de las actividades de FIN7 destaca la adaptabilidad, persistencia y constante evolución de este grupo de amenazas. El desarrollo y comercialización de herramientas especializadas como AvNeutralizer en foros clandestinos fortalece significativamente la influencia del grupo.

Las constantes innovaciones de FIN7, especialmente en el ámbito de métodos avanzados para evadir medidas de seguridad, demuestran un alto nivel de pericia técnica del grupo. El uso de múltiples seudónimos y la colaboración con otros grupos de cibercriminales dificultan la atribución y evidencian las estrategias operativas avanzadas de FIN7.