O agente de ameaças com motivação financeira conhecido como FIN7 foi observado usando vários pseudônimos em vários fóruns clandestinos para provavelmente anunciar uma ferramenta conhecida por ser usada por grupos de ransomware como o Black Basta.
“O AvNeutralizer (também conhecido como AuKill), uma ferramenta altamente especializada desenvolvida pela FIN7 para adulterar soluções de segurança, foi comercializada no submundo criminoso e usada por vários grupos de ransomware”, disse a empresa de segurança cibernética SentinelOne em um relatório compartilhado com o The Hacker Information.
O FIN7, um grupo de crimes eletrônicos de origem russa e ucraniana, tem sido uma ameaça persistente desde pelo menos 2012, mudando de seu foco inicial em terminais de ponto de venda (PoS) para atuar como um afiliado de ransomware para gangues extintas como REvil e Conti, antes de lançar seus próprios programas de ransomware como serviço (RaaS), DarkSide e BlackMatter.
O agente da ameaça, que também é rastreado pelos nomes Carbanak, Carbon Spider, Gold Niagara e Sangria Tempest (anteriormente Elbrus), tem um histórico de criar empresas de fachada como Combi Safety e Bastion Safe para recrutar engenheiros de software program desavisados para esquemas de ransomware sob o pretexto de testes de penetração.
Ao longo dos anos, o FIN7 demonstrou um alto nível de adaptabilidade, sofisticação e conhecimento técnico ao reformular seu arsenal de malware – POWERTRASH, DICELOADER (também conhecido como IceBot, Lizar ou Tirion) e uma ferramenta de teste de penetração chamada Core Impression, que é entregue por meio do carregador POWERTRASH – apesar das prisões e condenações de alguns de seus membros.
Isso é evidenciado nas campanhas de phishing em larga escala realizadas pelo grupo para distribuir ransomware e outras famílias de malware, implantando milhares de domínios “shell” que imitam empresas legítimas de mídia e tecnologia, de acordo com um relatório recente da Silent Push.
Como alternativa, esses domínios de shell têm sido usados ocasionalmente em uma cadeia de redirecionamento convencional para enviar usuários para páginas de login falsas que se disfarçam como portais de gerenciamento de propriedades.
Essas versões do typosquat são anunciadas em mecanismos de busca como o Google, enganando usuários que buscam softwares populares para baixar uma variante com malware. Algumas das ferramentas visadas incluem 7-Zip, PuTTY, AIMP, Notepad++, Superior IP Scanner, AnyDesk, pgAdmin, AutoDesk, Bitwarden, Relaxation Proxy, Python, Elegant Textual content e Node.js.
Vale ressaltar que o uso de táticas de malvertising pelo FIN7 foi destacado anteriormente pela eSentire e pela Malwarebytes em maio de 2024, com as cadeias de ataque levando à implantação do NetSupport RAT.
“A FIN7 aluga uma grande quantidade de IPs dedicados em vários hosts, mas principalmente na Stark Industries, um widespread provedor de hospedagem à prova de falhas que tem sido associado a ataques DDoS na Ucrânia e em toda a Europa”, observou a Silent Push.
As últimas descobertas do SentinelOne mostram que o FIN7 não apenas usou diversas personas em fóruns de crimes cibernéticos para promover a venda do AvNeutralizer, mas também improvisou a ferramenta com novos recursos.
Isso se baseia no fato de que vários grupos de ransomware começaram a usar versões atualizadas do programa de comprometimento de EDR a partir de janeiro de 2023, que period usado exclusivamente pelo grupo Black Basta até então.
O pesquisador do SentinelLabs, Antonio Cocomazzi, disse ao The Hacker Information que a propaganda do AvNeutralizer em fóruns clandestinos não deve ser tratada como uma nova tática de malware como serviço (MaaS) adotada pelo FIN7 sem evidências adicionais.
“A FIN7 tem um histórico de desenvolvimento e uso de ferramentas sofisticadas para suas próprias operações”, disse Cocomazzi. “No entanto, vender ferramentas para outros criminosos cibernéticos pode ser visto como uma evolução pure de seus métodos para diversificar e gerar receita adicional.”
“Historicamente, o FIN7 tem usado mercados clandestinos para gerar receita. Por exemplo, o DoJ relatou que, desde 2015, o FIN7 roubou com sucesso dados de mais de 16 milhões de cartões de pagamento, muitos dos quais foram vendidos em mercados clandestinos. Embora isso fosse mais comum na period pré-ransomware, o anúncio atual do AvNeutralizer pode sinalizar uma mudança ou expansão em sua estratégia.”
“Isso pode ser motivado pelas proteções crescentes fornecidas pelas soluções EDR atuais em comparação aos sistemas AV anteriores. À medida que essas defesas melhoraram, a demanda por ferramentas de comprometimento como o AvNeutralizer cresceu significativamente, especialmente entre operadores de ransomware. Os invasores agora enfrentam desafios mais difíceis para contornar essas proteções, tornando essas ferramentas altamente valiosas e caras.”
Por sua vez, a versão atualizada do AvNeutralizer emprega técnicas antianálise e, mais importante, aproveita um driver integrado do Home windows chamado “ProcLaunchMon.sys” em conjunto com o driver do Course of Explorer para adulterar o funcionamento de soluções de segurança e evitar a detecção. Acredita-se que a ferramenta esteja em desenvolvimento ativo desde abril de 2022.
Uma versão semelhante dessa abordagem também foi usada pelo Lazarus Group, tornando-a ainda mais perigosa, pois vai além do tradicional ataque Deliver Your Personal Susceptible Driver (BYOVD), transformando em arma um driver suscetível já presente por padrão em máquinas Home windows.
Outra atualização digna de nota diz respeito à plataforma Checkmarks do FIN7, que foi modificada para incluir um módulo de ataque automatizado de injeção de SQL para explorar aplicativos públicos.
“Em suas campanhas, o FIN7 adotou métodos de ataque automatizados, mirando servidores voltados ao público por meio de ataques automatizados de injeção de SQL”, disse SentinelOne. “Além disso, seu desenvolvimento e comercialização de ferramentas especializadas como o AvNeutralizer dentro de fóruns do submundo criminoso aumentam significativamente o impacto do grupo.”