{"id":18404,"date":"2019-05-10T10:36:23","date_gmt":"2019-05-10T08:36:23","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18404"},"modified":"2019-11-22T10:53:07","modified_gmt":"2019-11-22T08:53:07","slug":"fin7-still-exists","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/fin7-still-exists\/18404\/","title":{"rendered":"A pesar de la detenci\u00f3n de FIN7, la actividad maliciosa contin\u00faa"},"content":{"rendered":"

El a\u00f1o pasado, Europol y el Departamento de Justicia de Estados Unidos detuvieron a una serie de ciberdelincuentes que, presuntamente, lideraban los grupos FIN7 y Carbanak. Ante esto, los medios anunciaron el final de estas bandas, pero nuestros expertos siguen captando se\u00f1ales de su actividad. Adem\u00e1s, los grupos relacionados entre s\u00ed y que utilizan herramientas similares y la misma infraestructura van en aumento. A continuaci\u00f3n, te presentamos una lista de sus principales instrumentos y estrategias, junto con algunos consejos sobre c\u00f3mo mantener protegida a tu empresa.<\/p>\n

FIN7<\/h3>\n

El grupo FIN7 est\u00e1 especializado en ataques a empresas con el fin de conseguir el acceso a su informaci\u00f3n financiera o a su infraestructura de puntos de venta. Estas bandas utilizan campa\u00f1as de spear-phishing<\/em> caracterizadas por su sofisticada ingenier\u00eda social. Por ejemplo, antes de remitir documentos maliciosos, puede que intercambien varios mensajes comunes y corrientes con sus v\u00edctimas para evitar cualquier sospecha.<\/p>\n

En la mayor\u00eda de los casos, los ataques utilizaban documentos maliciosos con macros que instalaban malware<\/em> en el ordenador de la v\u00edctima y programaban tareas peri\u00f3dicas. Despu\u00e9s, recib\u00edan los m\u00f3dulos y los ejecutaban en la memoria del sistema. Para ser m\u00e1s precisos, hemos visto m\u00f3dulos que recopilan informaci\u00f3n, descargan malware<\/em> adicional, realizan capturas de pantalla y almacenan otras versiones del mismo malware<\/em> en los registros del sistema (en el caso de que se detecte el primero). Y, por supuesto, los cibercriminales pueden crear m\u00f3dulos adicionales en cualquier momento.<\/p>\n

Las bandas CobaltGoblin, Carbanak y EmpireMonkey<\/h3>\n

Otros ciberdelincuentes utilizan herramientas y t\u00e9cnicas similares, por lo que solo se diferencian sus objetivos: en este caso, bancos y desarrolladores de software<\/em> bancario y de procesamiento de fondos. La estrategia principal de las bandas Carbanak (o bien, CobaltGoblin o EmpireMonkey) es la de hacerse un hueco en las redes corporativas de las v\u00edctimas e identificar los endpoints<\/em> que sean de su inter\u00e9s y que contengan informaci\u00f3n que puedan rentabilizar.<\/p>\n

El botnet<\/em> AveMaria<\/h3>\n

AveMaria es un nuevo botnet<\/em> que se utiliza para robar informaci\u00f3n y que opera de la siguiente manera: cuando infecta una m\u00e1quina, comienza a recopilar todas las credenciales de usuario que puede, pertenecientes de distintos softwares<\/em>, como navegadores, correos electr\u00f3nicos y mensajes de clientes, entre otros. Asimismo, tambi\u00e9n act\u00faa como un keylogger<\/em>.<\/p>\n

Para enviar la carga, los ciberdelincuentes hacen uso del spear phishing<\/em>, de la ingenier\u00eda social y de los archivos adjuntos maliciosos. Nuestros expertos sospechan que est\u00e1n relacionados con FIN7, puesto que existen similitudes entre sus m\u00e9todos e infraestructura de mando y control. Otro indicio de su relaci\u00f3n es la distribuci\u00f3n de los objetivos: el 30 % de sus objetivos eran peque\u00f1as y medianas empresas proveedoras o prestadoras de servicios para las grandes empresas y el 21 % se compon\u00eda de diversos tipos de empresas dedicadas a la producci\u00f3n.<\/p>\n

CopyPaste<\/h3>\n

Nuestros expertos descubrieron una serie de acciones, cuyo nombre en c\u00f3digo es CopyPaste, dirigidas contra entidades financieras y empresas en pa\u00edses de \u00c1frica. Los ciberdelincuentes empleaban varios m\u00e9todos y herramientas parecidas a las que utilizaba FIN7. Sin embargo, es probable que estos cibercriminales solamente hayan usado publicaciones de fuente abierta y no tengan v\u00ednculos reales con FIN7.<\/p>\n

En Securelist<\/a> encontrar\u00e1s informaci\u00f3n t\u00e9cnica m\u00e1s detallada, incluyendo los indicadores de compromiso.<\/p>\n

C\u00f3mo mantenerte protegido<\/h3>\n