Notorios hackers de FIN7 venden el EDR killer a otros actores de amenazas

Iniciado por AXCESS, Julio 17, 2024, 07:11:51 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 17, 2024, 07:11:51 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha visto al famoso grupo de hackers FIN7 vendiendo su herramienta personalizada "AvNeutralizer", utilizada para evadir la detección eliminando el software de protección de terminales empresariales en redes corporativas.

Se cree que FIN7 es un grupo de piratería ruso que ha estado activo desde 2013, centrándose inicialmente en el fraude financiero mediante la piratería de organizaciones y el robo de tarjetas de débito y crédito.

Más tarde se trasladaron al espacio del ransomware y se vincularon con las plataformas de operación de ransomware DarkSide y BlackMatter. Es probable que los mismos actores de amenazas también estén vinculados a la operación de ransomware BlackCat, que recientemente llevó a cabo una estafa de salida después de robar el pago de un rescate de UnitedHealth.

FIN7 es conocido por sus sofisticados ataques de phishing y de ingeniería para obtener acceso inicial a redes corporativas, incluida la suplantación de BestBuy para enviar memorias USB maliciosas y el desarrollo de herramientas y malware personalizados.

Para aumentar los exploits, crearon una empresa de seguridad falsa llamada Bastion Secure para contratar pentesters y desarrolladores para ataques de ransomware sin que los solicitantes supieran cómo se estaba utilizando su trabajo.

Los piratas informáticos de FIN7 también son rastreados con otros nombres, incluidos Sangria Tempest, Carbon Spider y Carbanak Group.

FIN7 vende herramientas a otros hackers

En un nuevo informe de SentinelOne, los investigadores dicen que una de las herramientas personalizadas creadas por FIN7 es "AvNeutralizer" (también conocido como AuKill), una herramienta utilizada para eliminar el software de seguridad que se detectó por primera vez en los ataques de la operación de ransomware BlackBasta en 2022.

Como BlackBasta era la única operación de ransomware que utilizaba la herramienta en ese momento, los investigadores creyeron que existía una conexión entre los dos grupos.

Sin embargo, la telemetría histórica de SentinelOne ha demostrado que la herramienta fue utilizada en ataques por otras cinco operaciones de ransomware, lo que muestra una amplia distribución de la herramienta.

"Desde principios de 2023, nuestros datos de telemetría revelan numerosas intrusiones que involucran varias versiones de AvNeutralizer", explica un informe del investigador de SentinelOne Antonio Cocomazzi.

"Aproximadamente 10 de ellos se atribuyen a intrusiones de ransomware operadas por humanos que implementaron cargas útiles RaaS conocidas, incluidas AvosLocker, MedusaLocker, BlackCat, Trigona y LockBit".

Investigaciones adicionales revelaron que los actores de amenazas que operan bajo los alias "goodsoft", "lefroggy", "killerAV" y "Stupor" habían estado vendiendo un "AV Killer" en foros de piratería de habla rusa desde 2022 por precios que oscilaban entre 4.000 y 15.000 dólares.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un informe de 2023 de Sophos detalló cómo AvNeutralizer/AuKill abusó del controlador legítimo SysInternals Process Explorer para finalizar los procesos antivirus que se ejecutan en un dispositivo.

Los actores de amenazas afirmaron que esta herramienta podría usarse para eliminar cualquier software antivirus/EDR, incluidos Windows Defender y productos de Sophos, SentinelOne, Panda, Elastic y Symantec.

SentinelOne ahora descubrió que FIN7 ha actualizado AVNeutralizer para utilizar el controlador ProcLaunchMon.sys de Windows para bloquear procesos, lo que hace que ya no funcionen correctamente.

"AvNeutralizer utiliza una combinación de controladores y operaciones para crear una falla en algunas implementaciones específicas de procesos protegidos, lo que en última instancia conduce a una condición de denegación de servicio", explica SentinelOne.

"Emplea el controlador de monitor TTD ProcLaunchMon.sys, disponible en instalaciones predeterminadas del sistema en el directorio de controladores del sistema, junto con versiones actualizadas del controlador del explorador de procesos con la versión 17.02 (17d9200843fe0eb224644a61f0d1982fac54d844), que ha sido reforzado para el abuso de operaciones entre procesos y actualmente no está bloqueado por la lista WDAC de Microsoft."

Flujo de trabajo de AvNeutralizer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

SentinelOne encontró herramientas personalizadas adicionales y malware utilizados por FIN7, que no se sabe que se vendan a otros actores de amenazas:

Powertrash (una puerta trasera de PowerShell), Diceloader (una puerta trasera liviana controlada por C2), Core Impact (un conjunto de herramientas de pruebas de penetración) y una puerta trasera basada en SSH.

Los investigadores advierten que la continua evolución e innovación de FIN7 en herramientas y técnicas, así como la venta de su software, lo convierten en una amenaza importante para las empresas de todo el mundo.

"La continua innovación de FIN7, en particular en sus sofisticadas técnicas para evadir las medidas de seguridad, demuestra su experiencia técnica", concluye el investigador de SentinelOne Antonio Cocomazzi.

"El uso por parte del grupo de múltiples seudónimos y la colaboración con otras entidades cibercriminales hace que la atribución sea más desafiante y demuestra sus estrategias operativas avanzadas".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario