lunedì 13 maggio 2019

Kaspersky, gang cybercriminale Fin7 risorge dopo arresto dei leader


Secondo gli esperti di Kaspersky, Fin7 potrebbe aver esteso il numero di gruppi che operano sotto il suo ombrello; aumentato la sofisticazione dei suoi metodi; e si sarebbe persino posizionato come legittimo venditore di sicurezza per reclutare impiegati professionisti e ingannarli per aiutarli a rubare risorse finanziarie. Fin7 si crede che sia dietro gli attacchi rivolti a diversi settori negli Stati Uniti da metà 2015, lavorando in stretta collaborazione e condividendo strumenti e metodi con la famigerata gang Carbanak. Dopo l’arresto, nel 2018, di diversi individui sospettati di essere i leader delle famigerate cybergang FIN7 e Carbanak, si pensava che il gruppo di cybercriminali si fosse sciolto.

I ricercatori di Kaspersky Lab hanno, però, rilevato una serie di nuovi attacchi portati avanti dagli stessi gruppi con uso del malware Griffon, Trojan che si rivolge alla piattaforma Windows. Secondo gli esperti dell’azienda, Fin7 potrebbe aver fatto crescere il numero dei gruppi di attaccanti che operano con la loro guida; Fin7 avrebbe, inoltre, reso i propri metodi ancora più sofisticati e si sarebbe persino spacciato per un vendor legittimo di soluzioni di cybersicurezza per ingaggiare – e ingannare - dei ricercatori professionisti, facendosi aiutare da loro nel furto di risorse finanziarie. Il gruppo cybercriminale Fin7 sarebbe il responsabile degli attacchi avvenuti negli Stati Uniti dalla metà del 2015 in ambito retail, ristorazione e hospitality, una serie di azioni che sarebbe stata condotta in stretta collaborazione, e condividendo strumenti e metodi, con il famigerato gruppo Carbanak.

Anche le organizzazioni nel Regno Unito, in Francia e in Australia sono state comunemente prese di mira. Mentre Carbanak si concentrava principalmente sul mondo bancario, Fin7 prendeva di mira soprattutto le aziende, in particolare quelle potenzialmente in grado di recuperare milioni di dollari attraverso asset finanziari come credenziali di carte di pagamento o informazioni sui conti dai computer dei dipartimenti finanziari. Una volta ottenuto ciò che serviva, gli autori della minaccia trasferivano il denaro sui conti offshore. Secondo la nuova indagine realizzata da Kaspersky Lab, il gruppo avrebbe continuato la sua attività nonostante l’arresto dello scorso anno – a seguito delle accuse formulate dal Dipartimento di Giustizia degli Stati Uniti (DoJ) - dei suoi presunti leader, mettendo in atto sofisticate campagne di spear-phishing per tutto il 2018 e distribuendo malware a diversi obiettivi attraverso email realizzate su misura.

In diversi casi, i cybercriminali hanno scambiato messaggi con le vittime designate per settimane prima di inviare i documenti malevoli come allegati. Fin7 in genere ha avviato i suoi attacchi informatici inviando un’email di “phishing” a un dipendente dell’azienda. Ogni e-mail includeva un file allegato, spesso un innocuo documento Microsoft Word, con malware incorporato. Il testo all'interno dell’e-mail simulava un messaggio aziendale legittimo per guidare il destinatario ad aprire l’allegato e attivare involontariamente il malware. In molti casi, Fin7 avrebbe accompagnato le e-mail di phishing con una telefonata alla vittima sullo stesso argomento, che aveva lo scopo di legittimare l’e-mail di phishing. Il chiamante ha spesso indirizzato il dipendente all’email di phishing inviata di recente per invogliare ulteriormente il dipendente ad aprire il file allegato e attivare il malware.

Secondo l’FBI, sono state rubate oltre 15 milioni di carte di credito da oltre 6.500 terminali di punti vendita (PoS) in almeno 3.600 sedi commerciali. Secondo Kaspersky Lab, più di 130 aziende potrebbero essere state prese di mira in questo modo entro la fine del 2018. I ricercatori hanno scoperto anche altri team di attaccanti informatici che operano sotto l’“egida” di Fin7. L'uso di infrastrutture condivise e la messa in opera delle stesse tattiche, di simili tecniche e delle medesime procedure (TTPs), sarebbero la prova di una possibile collaborazione di Fin7 con la botnet AveMaria e con i gruppi noti come CobaltGoblin/EmpireMonkey, ritenuti responsabili di una serie di cyberfurti in banche europee e centro-americane. Kaspersky Lab ha anche scoperto che Fin7 ha creato una falsa società che affermava di essere un legittimo vendor di soluzioni di cybersecurity, con uffici in tutta la Russia.

Il sito web di questa finta società è registrato sul server che Fin7 utilizza come C&C (Command and Control center). Questo business “fake” sarebbe stato utilizzato anche per reclutare, attraverso canali online legittimi per la ricerca di lavoro, ignari ricercatori indipendenti, che si occupano di rilevamento di vulnerabilità, sviluppatori di software e interpreti. Sembra che alcune delle persone poi assunte all’interno di queste false aziende non sospettassero in alcun modo di essere state coinvolte in attività cybercriminali, tanto che molte hanno incluso l’esperienza lavorativa in queste organizzazioni anche nei loro CV. “Le minacce informatiche moderne possono essere paragonate all’Idra di Lerna, il mostro leggendario della mitologia greca e romana; al taglio di una delle sue teste ne sarebbero spuntate subito due nuove!”, ha commentato Yury Namestnikov, Security Researcher di Kaspersky Lab.

“Il modo migliore per proteggersi dagli autori di questo tipo di minacce, quindi, è quello di implementare soluzioni di sicurezza avanzate e multi-livello: è fondamentale installare tutte le patch per i software non appena vengono rilasciate e condurre regolari analisi di sicurezza su tutte le reti, i sistemi e i dispositivi in uso”, ha aggiunto. Secondo alcuni ricercatori, una vulnerabilità messa a punto di recente e con elevata severità in Microsoft SharePoint (CVE-2019-0604) che consente l’esecuzione di codice in modalità remota viene sfruttata sempre di più in natura, forse anche dal gruppo FIN7. Secondo l’advisory di Microsoft, la vulnerabilità è un difetto di esecuzione del codice remoto causato dall’errore di SharePoint nella verifica del codice sorgente di un pacchetto dell'applicazione. La buona notizia è che il gigante della tecnologia ha già rilasciato una patch per risolvere la vulnerabilità.

In ogni caso, le autorità suggeriscono ora che il difetto di SharePoint Server sia attivamente preso di mira. Per assicurarsi di essere al sicuro, bisogna accertarsi che il proprio sistema sia aggiornato all’ultima versione. Per ridurre il più possibile il rischio di infezione, Kaspersky Lab consiglia di: • Utilizzare soluzioni di sicurezza con funzionalità specifiche per il rilevamento e il blocco dei tentativi di phishing. Le aziende possono proteggere i propri sistemi per la gestione delle email on-premise con applicazioni mirate all'interno della suite Kaspersky Endpoint Security for Business. Kaspersky Security for Microsoft Office 365, ad esempio, aiuta a proteggere il servizio di posta elettronica cloud-based Exchange Online all'interno della suite Microsoft Office 365. • Introdurre corsi di formazione sulla sicurezza IT e istruire il proprio personale in modo che acquisisca competenze di carattere pratico.

Programmi come Kaspersky Automated Security Awareness Platform possono anche simulare campagne di phishing e contribuire al rafforzamento delle competenze. • Mettere a disposizione del proprio team di sicurezza IT l’accesso alle informazioni più recenti in tema di Intelligence delle minacce, perché possa essere costantemente aggiornato sulle nuove tattiche e gli ultimi strumenti utilizzati dai criminali informatici. La versione integrale del report di Kaspersky Lab con le ultime scoperte su Fin7, dal titolo “FIN7.5: the infamous cybercrime rig “FIN7” continues its activities” è disponibile in un blogpost dedicato su Securelist. Kaspersky Lab è un’azienda di sicurezza informatica a livello globale che opera nel mercato da oltre 21 anni. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it


Nessun commento:

Posta un commento