FIN7: El grupo de hackers del billón de dólares

¿Qué es FIN7?

Esta semana las tiendas SAKS y Lord & Taylor, propiedad de The Hudson’s Bay Company, sufrieron un robo de datos que incluye los números de más de 5 millones de tarjetas de débito y crédito. ¿Quiénes han sido los autores? El mismo grupo que se ha dedicado los últimos años a robar datos de compañías como Omni Hotels, Trump Hotels, Jason’s Deli o Chipotle. Se les conoce como Fin7.

Los robos de datos se producen todos los días, ya sea mientras pides comida online o mientras cuentas calorías con tu aplicación fit preferida. No obstante, si te han robado el número de tarjeta a través de una fuga de datos procedente de un hotel, tienda o restaurante; Probablemente has conocido a Fin7 muy de cerca.

Mientras muchas de las organizaciones de hackers se dedican a hacer dedican a hacer dinero, los investigadores creen que FIN7 tienen una organización particularmente profesional y disciplinada. El grupo parece comunicarse en ruso pero no existen lazos que los vinculen a ningún país en concreto. Cumplen un horario comercial, con sus fines de semana libres incluidos. FIN7 ha desarrollado sus herramientas de ataque propias y parecen contar con una división de testing e I+D con muchos medios para poder saltarse las protecciones antivirus y protegerse de las autoridades. En el caso de SAKS, el grupo utilizó Malware en el punto de venta, instalaron software en las cajas registradoras para apropiarse de los datos financieros de los clientes. Su huella.

“Están relacionados con casi cualquier brecha en punto de venta” nos comenta Dmitry Chorine, cofundador de Gemini Advisory, una empresa de gestión de amenazas que trabaja con las principales instituciones financieras y los primeros de detectar el caso Saks/Lord & Taylor.

“Lo que tenemos claro es que FIN7 actúa como cualquier empresa del mundo. Tienen un líder, tienen mandos intermedios, tienen una estructura para el lavado de dinero, desarrolladores de software y testadores. Sin olvidar que tienen los medios económicos para permanecer ocultos. Sacan unos 50 millones al mes. Teniendo en cuenta lo que llevan el negocio, probablemente tienen por lo menos un billón de dólares a mano”

FIN7

Un juego de nombres

Los investigadores llevan años investigando a FIN7, analizando sus herramientas y viendo como sus técnicas evolucionan y avanzan. Muchos de los observadores han luchado con ellos en tiempo real mientras los hackers cometían sus ataques. Aprendiendo de su ética de trabajo mientras tratan de combatirlos.

La anonimidad del ciberespacio hace que sea difícil identificar a la persona que comete los crímenes, así como, demostrar que todos son parte del mismo grupo o simplemente usan herramientas similares.

Como resultado FIN7 es conocido por muchos nombres. Muchos. El nombre de FIN7 está relacionado con los robos de tarjetas en tiendas, mientras otro grupo (puede que una división interna o un grupo del que surge el actual), están especializados en instituciones financieras para robar directamente y lavar el dinero.Los grupos que se encargan de los bancos reciben el nombre de Carbanak o Cobalt; FIN7 algunas veces también es nombrado así.

La empresa de seguridad Crowdstrike conoce bien a estos grupos y les asigna sus propios nombres, Carbon Spider y Cobalt Spider. Carbon Spider es el grupo detrás del robo de tarjetas en hoteles, tiendas y restaurantes. Cobalt Spider se dedica a las instituciones financieras y los cajeros. Para añadir más confusión, Gemini Advisory llama algunas veces “JokerStash” a FIN7, tomando el nombre del lugar de la dark web en la que venden los datos robados.

Es un lío. A pesar de que es prácticamente imposible colocar a todos estos grupos en un organigrama, sabemos que todos trabajaron en las campañas de troyanos contra bancos de 2013 a 2015. En esas campañas se usaron los troyanos Carberp y Anunak para atacar a instituciones financieras a nivel mundial. “Definitivamente existe una relación entre los grupos Carbon Spider y Cobalt Spider,” dice Adam Meyers, vicepresidente de inteligencia de CrowdStrike. “Existe una correlación entre el malware utilizado por ambos grupos lo que genera un montón de teorías. ¿Se separó Carbon Spider de Cobalt? ¿Comparten desarrollo de software? ¿Alguien dejó el grupo y se llevó las herramientas consigo?”

FIN7

Profesionales Consumados

Sin importar el nombre, la efectividad de FIN7 surge de un enfoque riguroso y profesional, incluyendo herramientas de phising que engañan a las víctimas para que infecten sus propias redes, algo que los investigadores consideran más típico de hacking entre naciones que de cibercriminales comunes. El grupo ha demostrado gran habilidad de adaptación para crear nuevas estrategias y evolucionar sus herramientas. El invierno pasado, la empresa de seguridad Morphisec demostró que a FIN7 sólo le llevo un día el crear un ataque de malware sin archivos para una vulnerabilidad nueva de las aplicaciones de Microsoft.

“La sensación que te llevas al intentar combatirles es que no van a parar sin presentar batalla” dice William Peteroy, CEO de la empresa de seguridad Icebrg que ha ayudado a parar ataques de FIN7.”Son perseverantes en conseguir acceso a sus objetivos y en mantener ese acceso una vez dentro. El objetivo es conseguir el mayor número de datos financieros posible. No son los más entrenados, ni los más eficientes, pero son profesionales. Ellos van a trabajar por la mañana y su trabajo es robar tarjetas de crédito”

Basados en las investigaciones de Icebrg y en sus experiencias de primera mano, Peteroy cree que uno de los activos principales del grupo es su capacidad para evadirse de los antivirus. FIN7 prueba diariamente sus herramientas para ver si hacen saltar alarmas en algún antivirus. En caso de hacerlo lo solucionan para no ser detectados durante un día más.

“Tienen una capacidad impresionante para estar siempre un paso por delante de los fabricantes de antivirus” dice Peteroy. “Hacen un testing constante de sus herramientas. No esperarías eso de una organización criminal pero si de una empresa que busca maximizar su rentabilidad. No estás desarrollando software para estar 10 pasos por delante, con solo un paso por delante ya es suficiente.”

Por el momento FIN7 ha conseguido estar fuera del alcance pero trabajan a una escala masiva en tantas operaciones a la vez que un pequeño error se puede producir. La semana pasada la Policía Nacional detenía junto a la Europol y el FBI; al principal sospechoso de ser el cerebro detrás del ataque Carbanak que afectó a instituciones financieras de todo el mundo. “El arresto de esta figura clave del grupo ilustra que los cibercriminales ya no se pueden esconder tras el anonimato de la red”. Dice Steven Wilson, responsable del Centro Europeo de Cibercrimen.

A pesar de ser un importante paso, los expertos son escépticos en que el arresto vaya a afectar a un grupo criminal tan robusto. “Alguien usando parte de las herramientas de FIN7 ha sido detenido en España. Puede ser alguien de alto nivel dentro del grupo pero eso no significa que el grupo fuera desmantelado” Dice Dmitry Chorine de Gemini Advisory’s.

Parece que se repite la historia de todos estos años y FIN7 sobrevivirá para robar otra tarjeta más. O lo más probable, millones de ellas.

Si te ha gustado este post seguro que te gustarán otros de la categoría:

¿Por qué hemos tardado tanto en indignarnos con Facebook?

Netflix: La empresa que nació de una multa