A pesar de la detención de FIN7, la actividad maliciosa continúa

9 May 2019

El año pasado, Europol y el Departamento de Justicia de los EE. UU. detuvieron a varios cibercriminales por presuntamente encabezar los grupos cibercriminales FIN7 y Carbanak. Los medios informativos anunciaron el final de esas bandas, pero nuestros expertos siguen captando señales de su actividad. Además, los grupos relacionados entre sí, que usan conjuntos de herramientas similares y la misma infraestructura, están en aumento. A continuación, te presentamos una lista de sus principales instrumentos y estratagemas, junto con algunos consejos sobre cómo mantener protegida a tu empresa.

FIN7

FIN7 se especializa en ataques a empresas con el fin de ganar acceso a su información financiera o  infraestructura de puntos de venta (PoS, por sus sigla en inglés). Estas bandas se valen de campañas de spear-phishing caracterizadas por su sofisticada ingeniería social. Por ejemplo, antes de remitir documentos maliciosos, puede que intercambien varios mensajes comunes y corrientes con sus víctimas con el fin de evadir toda sospecha.

En la mayoría de los casos, los ataques se basaron en documentos maliciosos con macros que instalaban malware en la computadora de la víctima y programaban tareas para hacerlas recurrentes. Después, recibieron los módulos y los ejecutaron en la memoria del sistema. Para ser precisos, hemos visto módulos que recogen información, descargan malware adicional, realizan capturas de pantalla y almacenan otras versiones del mismo malware dentro de los registros del sistema (en caso de que el primero se vea detectado). Y, por supuesto, los cibercriminales pueden crear módulos adicionales en cualquier momento.

Las bandas CobaltGoblin/Carbanak/EmpireMonkey

Otros cibercriminales utilizan herramientas y técnicas similares, que difieren solamente en sus objetivos: en este caso, bancos y desarrolladores de software bancario y de procesamiento de pagos. La estrategia principal de las bandas Carbanak (o bien, CobaltGoblin o EmpireMonkey) es la de ganar acceso a las redes corporativas de las víctimas, y después identificar los endpoints que sean de su interés y que contengan información de la que puedan obtener provecho económico.

El botnet AveMaria

AveMaria es un nuevo botnet que se usa para robar información, el cual opera de la siguiente manera: cuando una máquina se ve infectada, comienza a recoger todas las credenciales de usuario que pueda, pertenecientes a distintos software, como navegadores, correos electrónicos y mensajes de clientes, entre otros. Asimismo, actúa como un keylogger.

Para enviar la carga, los malhechores se valen del spear phishing, ingeniería social y archivos adjuntos maliciosos. Nuestros expertos sospechan que están relacionados con FIN7, puesto que existen similitudes entre sus métodos e infraestructura de mando y control (C&C, por sus siglas en inglés). Otro indicio de su relación es la distribución de los objetivos: el 30% de sus objetivos fueron pequeñas y medianas empresas proveedoras o prestadoras de servicios para las grandes empresas; el 21% se componía de diversos tipos de empresas dedicadas a la fabricación.

CopyPaste

Nuestros expertos descubrieron una serie de acciones, cuyo nombre en código es CopyPaste, dirigidas contra entidades financieras y empresas en países de África. Los perpetradores emplearon varios métodos y herramientas parecidas a aquellas empleadas por FIN7. Sin embargo, es probable que estos cibercriminales solamente hayan usado publicaciones de fuente abierta y no tengan vínculos reales con FIN7.

Si lo deseas, en Securelist.com puedes obtener información técnica más detallada, incluyendo indicadores de compromiso.

Cómo mantenerte protegido

  • Emplea soluciones de seguridad con funciones específicas diseñadas para detectar y bloquear los intentos de phishing. Las empresas pueden resguardar sus sistemas de correo electrónico in situ con aplicaciones dirigidas incluidas en el conjunto de Kaspersky Endpoint Security for Business.
  • Proporciona capacitación sobre seguridad y habilidades básicas de TI. Los programas como Kaspersky Automated Security Awareness Platform te ayudarán a reforzar estas habilidades mediante la realización de simulacros de ataques de phishing.
  • Todas las bandas arriba mencionadas sacan el máximo provecho de los sistemas sin parches en entornos corporativos. Para impedir sus capacidades, utiliza una sólida estrategia de parcheo y una solución de seguridad como Kaspersky Endpoint Security for Business, la cual puede instalar automáticamente los parches del software crítico.