Il mondo della cybersecurity pensava che le famigerate cybergang Fin7 e Carbanak si fossero sciolte dopo l’arresto, nel 2018, dei loro leader. I ricercatori di Kaspersky Lab, tuttavia, hanno rilevato una serie di nuovi attacchi portati avanti da questi stessi gruppi con il malware GRIFFON. Secondo gli esperti dell’azienda, Fin7 potrebbe aver fatto crescere il numero dei gruppi di attaccanti che operano con la loro guida; Fin7 avrebbe, inoltre, reso i propri metodi ancora più sofisticati e si sarebbe persino spacciato per un vendor legittimo di soluzioni di cybersicurezza per ingaggiare – e ingannare – dei ricercatori professionisti, facendosi aiutare da loro nel furto di risorse finanziarie.
Il gruppo cybercriminale Fin7 sarebbe il responsabile degli attacchi avvenuti negli Stati Uniti dalla metà del 2015 in ambito retail, ristorazione e hospitality, una serie di azioni che sarebbe stata condotta in stretta collaborazione, e condividendo strumenti e metodi, con il famigerato gruppo Carbanak. Mentre Carbanak si concentrava principalmente sul mondo bancario, Fin7 prendeva di mira soprattutto le aziende, in particolare quelle potenzialmente in grado di recuperare milioni di dollari attraverso asset finanziari come credenziali di carte di pagamento o informazioni sui conti dai computer dei dipartimenti finanziari. Una volta ottenuto ciò che serviva, gli autori della minaccia trasferivano il denaro sui conti offshore.
Secondo la nuova indagine realizzata da Kaspersky Lab, il gruppo avrebbe continuato la sua attività nonostante l’arresto dello scorso anno dei suoi presunti leader, mettendo in atto sofisticate campagne di spear-phishing per tutto il 2018 e distribuendo malware a diversi obiettivi attraverso email realizzate su misura. In diversi casi, i cybercriminali hanno scambiato messaggi con le vittime designate per settimane prima di inviare loro i documenti malevoli come allegati. Secondo Kaspersky Lab, più di 130 aziende potrebbero essere state prese di mira in questo modo entro la fine del 2018.
I ricercatori hanno scoperto anche altri team di attaccanti informatici che operano sotto l’”egida” di Fin7. L’uso di infrastrutture condivise e la messa in opera delle stesse tattiche, di simili tecniche e delle medesime procedure (TTP), sarebbero la prova di una possibile collaborazione di Fin7 con la botnet AveMaria e con i gruppi noti come CobaltGoblin/EmpireMonkey, ritenuti responsabili di una serie di cyberfurti in banche europee e centro-americane.
Kaspersky Lab ha anche scoperto che Fin7 ha creato una falsa società che affermava di essere un legittimo vendor di soluzioni di cybersecurity, con uffici in tutta la Russia. Il sito web di questa finta società è registrato sul server che Fin7 utilizza come C&C (Command and Control center). Questo business “fake” sarebbe stato utilizzato anche per reclutare, attraverso canali online legittimi per la ricerca di lavoro, ignari ricercatori indipendenti, che si occupano di rilevamento di vulnerabilità, sviluppatori di software e interpreti. Sembra che alcune delle persone poi assunte all’interno di queste false aziende non sospettassero in alcun modo di essere state coinvolte in attività cybercriminali, tanto che molte hanno incluso l’esperienza lavorativa in queste organizzazioni anche nei loro CV.
“Le minacce informatiche moderne possono essere paragonate all’Idra di Lerna, il mostro leggendario della mitologia greca e romana; al taglio di una delle sue teste ne sarebbero spuntate subito due nuove! Il modo migliore per proteggersi dagli autori di questo tipo di minacce, quindi, è quello di implementare soluzioni di sicurezza avanzate e multi-livello: è fondamentale installare tutte le patch per i software non appena vengono rilasciate e condurre regolari analisi di sicurezza su tutte le reti, i sistemi e i dispositivi in uso”, ha commentato Yury Namestnikov, Security Researcher di Kaspersky Lab.
Per ridurre il più possibile il rischio di infezione, Kaspersky Lab consiglia di:
- Utilizzare soluzioni di sicurezza con funzionalità specifiche per il rilevamento e il blocco dei tentativi di phishing. Le aziende possono proteggere i propri sistemi per la gestione delle email on-premise con applicazioni mirate all’interno della suite Kaspersky Endpoint Security for Business. Kaspersky Security for Microsoft Office 365, ad esempio, aiuta a proteggere il servizio di posta elettronica cloud-based Exchange Online all’interno della suite Microsoft Office 365.
- Introdurre corsi di formazione sulla sicurezza IT e istruire il proprio personale in modo che acquisisca competenze di carattere pratico. Programmi come Kaspersky Automated Security Awareness Platform possono anche simulare campagne di phishing e contribuire al rafforzamento delle competenze.
- Mettere a disposizione del proprio team di sicurezza IT l’accesso alle informazioni più recenti in tema di Intelligence delle minacce, perché possa essere costantemente aggiornato sulle nuove tattiche e gli ultimi strumenti utilizzati dai criminali informatici.