Dopo l’arresto, nel 2018, di diversi individui sospettati di essere i leader delle famigerate cybergang Fin7 e Carbanak, si pensava che il gruppo di cybercriminali si fosse sciolto. I ricercatori di Kaspersky Lab hanno, però, rilevato una serie di nuovi attacchi portati avanti dagli stessi gruppi con uso del malware GRIFFON. Secondo gli esperti dell’azienda, Fin7 potrebbe aver fatto crescere il numero dei gruppi di attaccanti che operano con la loro guida; Fin7 avrebbe, inoltre, reso i propri metodi ancora più sofisticati e si sarebbe persino spacciato per un vendor legittimo di soluzioni di cybersicurezza per ingaggiare – e ingannare – dei ricercatori professionisti, facendosi aiutare da loro nel furto di risorse finanziarie.
Il gruppo cybercriminale Fin7 sarebbe il responsabile degli attacchi avvenuti negli Stati Uniti dalla metà del 2015 in ambito retail, ristorazione e hospitality, una serie di azioni che sarebbe stata condotta in stretta collaborazione, e condividendo strumenti e metodi, con il famigerato gruppo Carbanak. Mentre Carbanak si concentrava principalmente sul mondo bancario, Fin7 prendeva di mira soprattutto le aziende, in particolare quelle potenzialmente in grado di recuperare milioni di dollari attraverso asset finanziari come credenziali di carte di pagamento o informazioni sui conti dai computer dei dipartimenti finanziari. Una volta ottenuto ciò che serviva, gli autori della minaccia trasferivano il denaro sui conti offshore.
Secondo la nuova indagine realizzata da Kaspersky Lab, il gruppo avrebbe continuato la sua attività nonostante l’arresto dello scorso anno dei suoi presunti leader, mettendo in atto sofisticate campagne di spear-phishing per tutto il 2018 e distribuendo malware a diversi obiettivi attraverso email realizzate su misura. In diversi casi, i cybercriminali hanno scambiato messaggi con le vittime designate per settimane prima di inviare loro i documenti malevoli come allegati. Secondo Kaspersky Lab, più di 130 aziende potrebbero essere state prese di mira in questo modo entro la fine del 2018.
I ricercatori hanno scoperto anche altri team di attaccanti informatici che operano sotto l’”egida” di Fin7. L’uso di infrastrutture condivise e la messa in opera delle stesse tattiche, di simili tecniche e delle medesime procedure (TTP), sarebbero la prova di una possibile collaborazione di Fin7 con la botnet AveMaria e con i gruppi noti come CobaltGoblin/EmpireMonkey, ritenuti responsabili di una serie di cyberfurti in banche europee e centro-americane.
Kaspersky Lab ha anche scoperto che Fin7 ha creato una falsa società che affermava di essere un legittimo vendor di soluzioni di cybersecurity, con uffici in tutta la Russia. Il sito web di questa finta società è registrato sul server che Fin7 utilizza come C&C (Command and Control center). Questo business “fake” sarebbe stato utilizzato anche per reclutare, attraverso canali online legittimi per la ricerca di lavoro, ignari ricercatori indipendenti, che si occupano di rilevamento di vulnerabilità, sviluppatori di software e interpreti. Sembra che alcune delle persone poi assunte all’interno di queste false aziende non sospettassero in alcun modo di essere state coinvolte in attività cybercriminali, tanto che molte hanno incluso l’esperienza lavorativa in queste organizzazioni anche nei loro CV.
“Le minacce informatiche moderne possono essere paragonate all’Idra di Lerna, il mostro leggendario della mitologia greca e romana; al taglio di una delle sue teste ne sarebbero spuntate subito due nuove! Il modo migliore per proteggersi dagli autori di questo tipo di minacce, quindi, è quello di implementare soluzioni di sicurezza avanzate e multi-livello: è fondamentale installare tutte le patch per i software non appena vengono rilasciate e condurre regolari analisi di sicurezza su tutte le reti, i sistemi e i dispositivi in uso”, ha commentato Yury Namestnikov, Security Researcher di Kaspersky Lab.