A pesar de la detención de FIN7, la actividad maliciosa continúa

10 May 2019

El año pasado, Europol y el Departamento de Justicia de Estados Unidos detuvieron a una serie de ciberdelincuentes que, presuntamente, lideraban los grupos FIN7 y Carbanak. Ante esto, los medios anunciaron el final de estas bandas, pero nuestros expertos siguen captando señales de su actividad. Además, los grupos relacionados entre sí y que utilizan herramientas similares y la misma infraestructura van en aumento. A continuación, te presentamos una lista de sus principales instrumentos y estrategias, junto con algunos consejos sobre cómo mantener protegida a tu empresa.

FIN7

El grupo FIN7 está especializado en ataques a empresas con el fin de conseguir el acceso a su información financiera o a su infraestructura de puntos de venta. Estas bandas utilizan campañas de spear-phishing caracterizadas por su sofisticada ingeniería social. Por ejemplo, antes de remitir documentos maliciosos, puede que intercambien varios mensajes comunes y corrientes con sus víctimas para evitar cualquier sospecha.

En la mayoría de los casos, los ataques utilizaban documentos maliciosos con macros que instalaban malware en el ordenador de la víctima y programaban tareas periódicas. Después, recibían los módulos y los ejecutaban en la memoria del sistema. Para ser más precisos, hemos visto módulos que recopilan información, descargan malware adicional, realizan capturas de pantalla y almacenan otras versiones del mismo malware en los registros del sistema (en el caso de que se detecte el primero). Y, por supuesto, los cibercriminales pueden crear módulos adicionales en cualquier momento.

Las bandas CobaltGoblin, Carbanak y EmpireMonkey

Otros ciberdelincuentes utilizan herramientas y técnicas similares, por lo que solo se diferencian sus objetivos: en este caso, bancos y desarrolladores de software bancario y de procesamiento de fondos. La estrategia principal de las bandas Carbanak (o bien, CobaltGoblin o EmpireMonkey) es la de hacerse un hueco en las redes corporativas de las víctimas e identificar los endpoints que sean de su interés y que contengan información que puedan rentabilizar.

El botnet AveMaria

AveMaria es un nuevo botnet que se utiliza para robar información y que opera de la siguiente manera: cuando infecta una máquina, comienza a recopilar todas las credenciales de usuario que puede, pertenecientes de distintos softwares, como navegadores, correos electrónicos y mensajes de clientes, entre otros. Asimismo, también actúa como un keylogger.

Para enviar la carga, los ciberdelincuentes hacen uso del spear phishing, de la ingeniería social y de los archivos adjuntos maliciosos. Nuestros expertos sospechan que están relacionados con FIN7, puesto que existen similitudes entre sus métodos e infraestructura de mando y control. Otro indicio de su relación es la distribución de los objetivos: el 30 % de sus objetivos eran pequeñas y medianas empresas proveedoras o prestadoras de servicios para las grandes empresas y el 21 % se componía de diversos tipos de empresas dedicadas a la producción.

CopyPaste

Nuestros expertos descubrieron una serie de acciones, cuyo nombre en código es CopyPaste, dirigidas contra entidades financieras y empresas en países de África. Los ciberdelincuentes empleaban varios métodos y herramientas parecidas a las que utilizaba FIN7. Sin embargo, es probable que estos cibercriminales solamente hayan usado publicaciones de fuente abierta y no tengan vínculos reales con FIN7.

En Securelist encontrarás información técnica más detallada, incluyendo los indicadores de compromiso.

Cómo mantenerte protegido

  • Utiliza soluciones de seguridad con funciones específicas diseñadas para detectar y bloquear los intentos de phishing. Las empresas pueden resguardar sus sistemas de correo electrónico locales con las aplicaciones incluidas en el paquete de Kaspersky Endpoint Security for BusinessKaspersky Endpoint Security for Business.
  • Ofrece formaciones técnicas y conciencia a tus empleados sobre la seguridad informática. Los programas como Kaspersky Automated Security Awareness Platform te ayudarán a reforzar estas habilidades mediante la realización de simulacros de ataques de phishing.
  • Todas las bandas que hemos mencionado sacan el máximo provecho de los sistemas sin parches en entornos corporativos. Para inutilizarlas, haz uso de una estrategia fuerte de parcheo y una solución de seguridad como Kaspersky Endpoint Security for Business, que puede instalar automáticamente los parches que solucionan vulnerabilidades críticas en el software.