El prolífico grupo de ciberdelincuencia ahora se centra en el ransomware



El equipo de ciberdelincuentes anteriormente asociado con el malware en el punto de venta y el robo de datos ahora se ha movido casi por completo a los delitos más lucrativos de ransomware y extorsión.

Una variedad de campañas de ransomware desde 2019 son en realidad el trabajo de un solo grupo, que ha pasado de realizar ataques en el punto de venta con malware a infiltrarse en redes e infectar sistemas con ransomware, dicen los investigadores.

En un análisis de un grupo de actividad maliciosa, Mandiant de FireEye vinculó los ataques a un solo grupo de delitos informáticos, al que la empresa denominó FIN11. El grupo utiliza herramientas de ataque y malware que parecen ser exclusivos de sus operadores, que también son conocidos por el uso de campañas de correo electrónico de gran volumen para infectar inicialmente a un usuario en una empresa objetivo y establecer una cabeza de playa. Si bien su actividad ha aumentado significativamente durante la mayor parte de 2019 y 2020, sus operaciones parecen remontarse a 2016.

En general, el grupo no muestra tácticas, técnicas y procedimientos sofisticados (TTP), pero son agresivos en sus intentos de afianzarse en las empresas, dice Kimberly Goody, gerente senior del equipo de delitos financieros de inteligencia de amenazas de Mandiant en FireEye.

«Lo principal que distingue a este grupo desde nuestra perspectiva es la extensión de sus campañas», dice. «Son sofisticados, pero tienen un amplio alcance. Y la evolución constante de sus TTP, aunque sea menor, puede evitar que las organizaciones puedan defenderse adecuadamente de sus campañas de spam».

El grupo también destaca una tendencia observada por FireEye. Desde principios de 2019, los grupos de delitos informáticos financieros que alguna vez se centraron en robar datos de tarjetas de pago ahora están cambiando para comprometer las redes corporativas, infectando una cantidad significativa de sistemas con ransomware y luego extorsionando a la empresa por grandes sumas, dice Goody.

«Las intrusiones en los puntos de venta fueron muy rentables y vimos que actores como FIN6 y FIN7, desde FIN5 hasta el closing, tenían como objetivo los datos de las tarjetas de pago», dice Goody. «Pero el ransomware, en términos de actores que lo implementan después de un compromiso y lo distribuyen ampliamente en el entorno de una víctima, es mucho más rentable».

FireEye concluyó en su análisis que el grupo probablemente opera desde la Comunidad de Estados Independientes (CEI), que se separó de la ex Unión Soviética. Sin embargo, la empresa no ha vinculado sus operaciones a ninguna campaña de ciberespionaje. Sin embargo, los grupos de ciberdelincuentes que operan en la CEI probablemente sean conocidos por la inteligencia rusa, y teniendo en cuenta que esos grupos suelen estar lo suficientemente preocupados por la aplicación de la ley rusa como para evitar infectar sistemas dentro de Rusia, podrían ser reclutados para tal actividad, dice Goody.

«En este momento, solo hemos visto ataques por motivos económicos de este grupo», dice. «Pero me parece unbelievable que la inteligencia de Rusia no esté al tanto de esta operación, y ha habido casos de grupos ciberdelincuentes rusos, como Zeus, que han tomado acciones específicamente que parecían estar en línea con las operaciones de espionaje … así que si se les pregunta, probablemente tendrían que realizar cualquier actividad que se les pidiera «.

Trickbot

A principios de este mes, Microsoft y un grupo de empresas de seguridad trabajaron juntos para eliminar los canales de comando y handle de la botnet Trickbot, cuyos operadores utilizaron las capacidades modulares del software package para vender acceso a sistemas comprometidos y realizar ataques de ransomware para obtener ganancias financieras. Sin embargo, Microsoft, junto con el Comando Cibernético de EE. UU., Al parecer, apuntó a Trickbot debido a la preocupación de que el grupo detrás del malware use su amplio alcance para afectar las elecciones de EE. UU.

El impacto del derribo no está claro. Si bien algunos informes han indicado que la botnet había sufrido interrupciones antes de la eliminación, aparentemente debido a las actividades del Cyber ​​Command de EE. UU., La firma de seguridad Proofpoint declaró que sus investigadores no habían visto ningún cambio noteworthy en la actividad.

«Las campañas más recientes de Trickbot ya están usando nuevos canales de comando y manage, lo que muestra que los actores de amenazas están adaptando activamente sus campañas», dijo Sherrod DeGrippo, director senior de investigación de amenazas en Proofpoint, en un comunicado a Dark Looking through. «(Nosotros) creemos que es poco probable que veamos cambios significativos inmediatos en los volúmenes de entrega de Trickbot ya que la mayoría de las infecciones de Trickbot parecen provenir de remitentes maliciosos de terceros en este momento».

Si bien FIN11 tiene sus propios conjuntos de herramientas únicos, el grupo aprovecha en gran medida los servicios de ciberdelincuencia, como los proveedores de alojamiento a prueba de balas, la infraestructura de malware privada y semiprivada y la compra de certificados de firma de código robados, dijo FireEye en su análisis.

Sin embargo, el mayor riesgo que representa el grupo es su ubicuidad, según FireEye.

«La amplia visibilidad que los expertos de Mandiant tienen en la actividad posterior al compromiso que históricamente ha seguido las campañas de correo electrónico malicioso de FIN11 sugiere que obtienen acceso a las redes de muchas más organizaciones de las que pueden monetizar con éxito», afirmó la compañía. «Su alta cadencia de operaciones puede ser un intento de lanzar una amplia pink en lugar de un reflejo de la capacidad del grupo para monetizar muchas víctimas simultáneamente».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Darkish Reading, MIT&#39s Technologies Evaluation, Common Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic