Nova ferramenta de ciberataque
17 de Julho de 2024

O ator de ameaças com motivação financeira conhecido como FIN7 foi observado usando múltiplos pseudônimos em vários fóruns clandestinos para provavelmente anunciar uma ferramenta conhecida por ser usada por grupos de ransomware como Black Basta.

"AvNeutralizer (também conhecido como AuKill), uma ferramenta altamente especializada desenvolvida pelo FIN7 para interferir com soluções de segurança, tem sido comercializada no submundo criminal e usada por múltiplos grupos de ransomware," afirmou a empresa de cibersegurança SentinelOne em um relatório compartilhado.

O FIN7, um grupo de e-crime de origem russa e ucraniana, tem sido uma ameaça persistente desde pelo menos 2012, mudando suas táticas de seu alvo inicial em terminais de ponto de venda (PoS) para atuar como afiliado de ransomware para gangues agora extintas como REvil e Conti, antes de lançar seus próprios programas de ransomware-as-a-service (RaaS) DarkSide e BlackMatter.

O ator de ameaça, que também é monitorado sob os nomes Carbanak, Carbon Spider, Gold Niagara e Sangria Tempest (anteriormente Elbrus), tem um histórico de criação de empresas de fachada como Combi Security e Bastion Secure para recrutar engenheiros de software sem o conhecimento deles para esquemas de ransomware sob o pretexto de testes de penetração.

Ao longo dos anos, o FIN7 demonstrou um alto nível de adaptabilidade, sofisticação e expertise técnica ao retrabalhar seu arsenal de malwares – POWERTRASH, DICELOADER (também conhecido como IceBot, Lizar ou Tirion) e uma ferramenta de teste de penetração chamada Core Impact, entregue via o carregador POWERTRASH – a despeito das prisões e condenações de alguns de seus membros.
Isso é evidenciado nas amplas campanhas de phishing realizadas pelo grupo para entregar ransomware e outras famílias de malwares, empregando milhares de domínios "shell" que imitam negócios de mídia e tecnologia legítimos, de acordo com um relatório recente da Silent Push.

Alternativamente, esses domínios shell têm sido ocasionalmente usados em uma corrente de redirecionamento convencional para enviar usuários a páginas de login falsificadas que se passam por portais de gestão de propriedades.

Essas versões typoquat são anunciadas em motores de busca como o Google, enganando usuários que buscam por softwares populares a baixar uma variante com malware.

Algumas das ferramentas visadas incluem 7-Zip, PuTTY, AIMP, Notepad++, Advanced IP Scanner, AnyDesk, pgAdmin, AutoDesk, Bitwarden, Rest Proxy, Python, Sublime Text e Node.js.
Vale ressaltar que o uso de táticas de malvertising pelo FIN7 já foi destacado tanto pela eSentire quanto pela Malwarebytes em maio de 2024, com as cadeias de ataque levando ao deployment do NetSupport RAT.

"FIN7 aluga uma grande quantidade de IPs dedicados em várias hospedagens, mas principalmente na Stark Industries, um provedor de hospedagem à prova de bala popular que tem sido ligado a ataques DDoS na Ucrânia e em toda a Europa," destacou a Silent Push.

As últimas descobertas da SentinelOne mostram que o FIN7 não só usou várias personas em fóruns de cibercrime para promover a venda de AvNeutralizer, mas também improvisou a ferramenta com novas capacidades.

Isso é baseado no fato de que múltiplos grupos de ransomware começaram a usar versões atualizadas do programa de comprometimento EDR a partir de janeiro de 2023, que até então era de uso exclusivo do grupo Black Basta.

O pesquisador da SentinelLabs, Antonio Cocomazzi, disse ao The Hacker News que o anúncio de AvNeutralizer em fóruns clandestinos não deve ser tratado como uma nova tática de malware-as-a-service (MaaS) adotada pelo FIN7 sem evidências adicionais.

"O FIN7 tem um histórico de desenvolvimento e uso de ferramentas sofisticadas para suas próprias operações," disse Cocomazzi.

No entanto, vender ferramentas para outros cibercriminosos pode ser visto como uma evolução natural de seus métodos para diversificar e gerar receita adicional.

Historicamente, o FIN7 tem usado marketplaces clandestinos para gerar receita.

Por exemplo, o DoJ relatou que desde 2015, o FIN7 conseguiu roubar dados de mais de 16 milhões de cartões de pagamento, muitos dos quais foram vendidos em marketplaces clandestinos.

Embora isso fosse mais comum na era pré-ransomware, o anúncio atual de AvNeutralizer poderia sinalizar uma mudança ou expansão em sua estratégia. Isso pode ser motivado pelas proteções crescentes fornecidas pelas soluções EDR atuais em comparação com os sistemas AV anteriores.

À medida que essas defesas melhoraram, a demanda por ferramentas de comprometimento como AvNeutralizer cresceu significativamente, especialmente entre operadores de ransomware.

Agora, os atacantes enfrentam desafios maiores ao burlar essas proteções, tornando tais ferramentas altamente valiosas e caras.

Por sua vez, a versão atualizada do AvNeutralizer emprega técnicas anti-análise e, mais importante, utiliza um driver integrado do Windows chamado "ProcLaunchMon.sys" em conjunto com o driver do Process Explorer para interferir no funcionamento de soluções de segurança e evitar detecção.

Acredita-se que a ferramenta esteja em desenvolvimento ativo desde abril de 2022.
Uma versão semelhante dessa abordagem também tem sido utilizada pelo Grupo Lazarus, tornando-a ainda mais perigosa, pois vai além de um ataque tradicional Bring Your Own Vulnerable Driver (BYOVD) ao armar um driver suscetível já presente por padrão em máquinas Windows.

Outra atualização digna de nota diz respeito à plataforma Checkmarks do FIN7, que foi modificada para incluir um módulo de ataque automatizado por SQL injection para explorar aplicações voltadas ao público.

"Em suas campanhas, o FIN7 adotou métodos de ataque automatizados, visando servidores voltados ao público através de ataques automáticos de SQL injection," disse a SentinelOne.

Além disso, seu desenvolvimento e comercialização de ferramentas especializadas como AvNeutralizer dentro de fóruns clandestinos aumentam significativamente o impacto do grupo.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...