{"id":14529,"date":"2019-05-09T02:07:30","date_gmt":"2019-05-09T08:07:30","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=14529"},"modified":"2019-11-22T02:48:53","modified_gmt":"2019-11-22T08:48:53","slug":"fin7-still-exists","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/fin7-still-exists\/14529\/","title":{"rendered":"A pesar de la detenci\u00f3n de FIN7, la actividad maliciosa contin\u00faa"},"content":{"rendered":"

El a\u00f1o pasado, Europol y el Departamento de Justicia de los EE. UU. detuvieron a varios cibercriminales por presuntamente encabezar los grupos cibercriminales FIN7 y Carbanak. Los medios informativos anunciaron el final de esas bandas, pero nuestros expertos siguen captando se\u00f1ales de su actividad. Adem\u00e1s, los grupos relacionados entre s\u00ed, que usan conjuntos de herramientas similares y la misma infraestructura, est\u00e1n en aumento. A continuaci\u00f3n, te presentamos una lista de sus principales instrumentos y estratagemas, junto con algunos consejos sobre c\u00f3mo mantener protegida a tu empresa.<\/p>\n

FIN7<\/h2>\n

FIN7 se especializa en ataques a empresas con el fin de ganar acceso a su informaci\u00f3n financiera o \u00a0infraestructura de puntos de venta (PoS, por sus sigla en ingl\u00e9s). Estas bandas se valen de campa\u00f1as de spear-phishing<\/em> caracterizadas por su sofisticada ingenier\u00eda social. Por ejemplo, antes de remitir documentos maliciosos, puede que intercambien varios mensajes comunes y corrientes con sus v\u00edctimas con el fin de evadir toda sospecha.<\/p>\n

En la mayor\u00eda de los casos, los ataques se basaron en documentos maliciosos con macros que instalaban malware<\/em> en la computadora de la v\u00edctima y programaban tareas para hacerlas recurrentes. Despu\u00e9s, recibieron los m\u00f3dulos y los ejecutaron en la memoria del sistema. Para ser precisos, hemos visto m\u00f3dulos que recogen informaci\u00f3n, descargan malware<\/em> adicional, realizan capturas de pantalla y almacenan otras versiones del mismo malware<\/em> dentro de los registros del sistema (en caso de que el primero se vea detectado). Y, por supuesto, los cibercriminales pueden crear m\u00f3dulos adicionales en cualquier momento.<\/p>\n

Las bandas CobaltGoblin\/Carbanak\/EmpireMonkey<\/h2>\n

Otros cibercriminales utilizan herramientas y t\u00e9cnicas similares, que difieren solamente en sus objetivos: en este caso, bancos y desarrolladores de software<\/em> bancario y de procesamiento de pagos. La estrategia principal de las bandas Carbanak (o bien, CobaltGoblin o EmpireMonkey) es la de ganar acceso a las redes corporativas de las v\u00edctimas, y despu\u00e9s identificar los endpoints<\/em> que sean de su inter\u00e9s y que contengan informaci\u00f3n de la que puedan obtener provecho econ\u00f3mico.<\/p>\n

El botnet<\/em> AveMaria<\/h2>\n

AveMaria es un nuevo botnet<\/em> que se usa para robar informaci\u00f3n, el cual opera de la siguiente manera: cuando una m\u00e1quina se ve infectada, comienza a recoger todas las credenciales de usuario que pueda, pertenecientes a distintos software<\/em>, como navegadores, correos electr\u00f3nicos y mensajes de clientes, entre otros. Asimismo, act\u00faa como un keylogger<\/em>.<\/p>\n

Para enviar la carga, los malhechores se valen del spear phishing<\/em>, ingenier\u00eda social y archivos adjuntos maliciosos. Nuestros expertos sospechan que est\u00e1n relacionados con FIN7, puesto que existen similitudes entre sus m\u00e9todos e infraestructura de mando y control (C&C, por sus siglas en ingl\u00e9s). Otro indicio de su relaci\u00f3n es la distribuci\u00f3n de los objetivos: el 30% de sus objetivos fueron peque\u00f1as y medianas empresas proveedoras o prestadoras de servicios para las grandes empresas; el 21% se compon\u00eda de diversos tipos de empresas dedicadas a la fabricaci\u00f3n.<\/p>\n

CopyPaste<\/h2>\n

Nuestros expertos descubrieron una serie de acciones, cuyo nombre en c\u00f3digo es CopyPaste, dirigidas contra entidades financieras y empresas en pa\u00edses de \u00c1frica. Los perpetradores emplearon varios m\u00e9todos y herramientas parecidas a aquellas empleadas por FIN7. Sin embargo, es probable que estos cibercriminales solamente hayan usado publicaciones de fuente abierta y no tengan v\u00ednculos reales con FIN7.<\/p>\n

Si lo deseas, en Securelist.com<\/a>\u00a0puedes obtener informaci\u00f3n t\u00e9cnica m\u00e1s detallada, incluyendo indicadores de compromiso.<\/p>\n

C\u00f3mo mantenerte protegido<\/h2>\n