.
O prolífico sindicato russo do crime cibernético FIN7 está usando vários pseudônimos para vender sua solução de segurança personalizada que desabilita malware para diferentes gangues de ransomware.
Anteriormente, acreditava-se que o malware AvNeutralizer estava vinculado exclusivamente ao grupo Black Basta, mas uma nova pesquisa revelou várias listagens em fóruns clandestinos do software malicioso que agora se acredita ter sido criado por agentes do FIN7.
Os cibercriminosos especificariam as soluções específicas de detecção e resposta de endpoint (EDR) que desejariam ignorar e, então, um construtor personalizado seria fornecido para eles…
Os preços variam entre US$ 4.000 e US$ 15.000 e as evidências sugerem que o AvNeutralizer é comercializado desde pelo menos 2022, com um aumento nos engajamentos envolvendo a ferramenta do FIN7 surgindo no início de 2023.
Os pesquisadores da SentinelOne disseram que o malware é eficaz em desabilitar produtos de segurança de endpoint de seu próprio portfólio e do Windows Defender, bem como Sophos, Panda Security, Elastic e Symantec.
O Black Basta foi flagrado usando o AvNeutralizer alguns anos atrás, mas várias outras campanhas de ransomware que começaram em 2023 também começaram a usar o malware para escapar da detecção.
Criminosos que usam variantes conhecidas de ransomware como serviço (RaaS), como LockBit, ALPHV/BlackCat, Trigona, AvosLocker e Medusa, mostraram que encontraram valor no AvNeutralizer, embora vínculos concretos entre o FIN7 e essas operações RaaS não tenham sido firmemente estabelecidos.
Ao adquirir a ferramenta, que a SentinelOne agora acredita serem pseudônimos adotados pela FIN7, os cibercriminosos especificariam as soluções específicas de detecção e resposta de endpoint (EDR) que desejariam ignorar e, então, um construtor personalizado seria fornecido a eles.
“Considerando as evidências disponíveis e a inteligência anterior, avaliamos com alta confiança que ‘goodsoft’, ‘lefroggy’, ‘killerAV’ e ‘Stupor’ [personas] pertencem ao cluster FIN7″, disse Antonio Cocomazzi, pesquisador de segurança ofensiva da SentinelOne, em um blog esta semana.
“Além disso, esses agentes de ameaças provavelmente estão empregando vários pseudônimos em vários fóruns para mascarar sua verdadeira identidade e sustentar suas operações ilícitas dentro desta rede.”
O AvNeutralizer também está em desenvolvimento contínuo e provou ser um pilar do arsenal de ferramentas do FIN7, que inclui backdoors, scripts do PowerShell e kits de pentesting.
A versão mais recente, cuja primeira aparição foi datada de abril de 2023, introduziu uma nova técnica de adulteração usando ProcLaunchMon.sys, um driver de monitor TTD integrado no Windows, para criar uma condição de negação de serviço em processos específicos.
Os detalhes completos de como o FIN7 trava as soluções EDR são detalhados no blog do SentinelOne, mas, em essência, ele suspende os processos filhos dos processos protegidos direcionados. Os últimos então falham porque não conseguem mais se comunicar com os primeiros.
Também deve ser dito que este não é um método genérico para matar processos EDR – mais de dez outras técnicas de modo de usuário e modo kernel são usadas para destruir as principais soluções de segurança. No entanto, todas elas já estão bem documentadas.
A importância da atribuição
A SentinelOne disse que agora que tem uma compreensão mais clara do AvNeutralizer, como ele é comercializado e quem o utiliza, a equipe consegue rastrear atividades maliciosas com mais precisão e realizar análises retrospectivas mais bem informadas.
O FIN7 está em ação desde 2012 e, nos últimos 12 anos, tem evoluído continuamente suas táticas, desde os primeiros dias de implantação de malware para roubo de cartões em pontos de venda (PoS) até se tornar uma gangue de ransomware de pleno direito em 2020.
Às vezes, ele foi afiliado a empresas como REvil e Conti, mas também formou sua própria operação RaaS na forma de Darkside, que mais tarde foi renomeada para BlackMatter após atingir a Colonial Pipeline.
Quando seus membros não estavam tentando se esconder atrás de uma série de pseudônimos, eles estavam criando empresas falsas, como a Combi Security e a Bastion Secure, para esconder suas ações e contratar profissionais de TI desavisados para ajudá-los a configurar ataques de ransomware. Não funcionou muito bem para alguns deles.
Apesar das inúmeras prisões de membros do FIN7 ao longo dos anos, o grupo continua avançando até hoje e evoluindo, tornando a tarefa de atribuição ainda mais importante.
“A inovação contínua do FIN7, particularmente em suas técnicas sofisticadas para escapar de medidas de segurança, demonstra sua expertise técnica”, disse Cocomazzi.
“O uso de múltiplos pseudônimos pelo grupo e a colaboração com outras entidades cibercriminosas tornam a atribuição mais desafiadora e demonstram suas estratégias operacionais avançadas. Esperamos que esta pesquisa inspire mais esforços para entender e mitigar as táticas em evolução do FIN7.” ®
.
