Renacimiento del Grupo Cibercriminal Fin7: La Sombra de Stark Industries
En la vasta y cambiante arena de la ciberseguridad, los rumores de la resurrección de Fin7, un notorio grupo de ciberdelincuencia basado en Rusia, han cobrado fuerza. Declarado aparentemente desmantelado en 2023 por las autoridades estadounidenses, Fin7 ha mostrado una preocupante revitalización en 2024, creando miles de sitios web falsos con la ayuda de una empresa de alojamiento que parece operar bajo el auspicio de Rusia.
El Retorno Sorpresivo
El año pasado, se declaró la disolución de Fin7 tras el arresto y condena de tres de sus altos operativos. Sin embargo, los primeros indicios de un retorno de esta entidad criminal aparecieron en abril de 2024, cuando Blackberry informó sobre una intrusión en una gran empresa automotriz. Esta intrusión utilizó como vector de ataque sitios web falsos que imitan herramientas populares de escaneo de redes, revelando así un nuevo modus operandi.
La Infraestructura Renacida
Investigadores de la firma de seguridad, Silent Push, han logrado mapear la infraestructura resucitada de Fin7, identificando más de 4,000 hosts que utilizan tácticas que van desde el typosquatting hasta extensiones de navegador maliciosas y dominios diseñados para spearphishing. Estos hosts suplantan marcas reconocidas a nivel global, incluyendo Google, Microsoft 365, Netflix, y muchas otras, lo que subraya el alcance y la sofisticación del grupo.
Estrategias de Envejecimiento de Dominios
Una de las tácticas más ingeniosas observadas es el “envejecimiento” de dominios. Fin7 crea sitios web que inicialmente parecen inofensivos, utilizando contenido de plantillas genéricas. Con el tiempo, estos dominios adquieren reputaciones benignas en la web, antes de ser utilizados para alojar páginas de phishing específicas de marcas, logrando así esquivar filtros de seguridad y ganar la confianza de sus víctimas.
Typosquatting y Anuncios Patrocinados
Una táctica clave en el arsenal de Fin7 es el registro de dominios similares a los de software libre popular, logrando que estos dominios falsos aparezcan prominentes en los resultados de búsqueda patrocinados en Google. Así, los usuarios desprevenidos son redirigidos a versiones maliciosas de software legítimo, como ocurrió con FreeCAD y otros numerosos programas.
Un Enfoque Amplio y Dirigido
Desde enero de este año, Fin7 ha incrementado significativamente su actividad, utilizando dominios envejecidos para construir una gigantesca infraestructura de phishing. Entre las metas recientes se encuentran los turistas que planean asistir a los Juegos Olímpicos de Verano en Francia, destacando la adaptabilidad del grupo a eventos actuales para maximizar sus ataques.
La Conexión con Stark Industries Solutions
Silent Push descubrió la nueva infraestructura de Fin7 tras rastrear una señal de alerta proveniente de una organización previamente atacada por el grupo. Este rastreo condujo a numerosos sitios alojados por Stark Industries Solutions, un proveedor de servicios de hospedaje que emergió justo antes de la invasión rusa a Ucrania. Stark Industries ha sido identificado como una base recurrente para tácticas cibercriminales vinculadas a agencias de inteligencia rusas.
La Vigilancia Continua
La resurrección de Fin7 destaca la resiliencia y persistencia del panorama cibercriminal. La esperanza es que la comunidad de seguridad y las autoridades tomen nota de esta amenaza creciente, y coordinen esfuerzos para neutralizar esta renovada amenaza. La guerra cibernética es tan dinámica como cualquier otro conflicto, y los defensores deben estar alertas y adaptarse rápidamente para proteger a las organizaciones y usuarios de este resurgente enemigo.
Es evidente que la lucha contra estos grupos requiere no solo una vigilancia constante, sino un enfoque colaborativo global para imponer restricciones y desmantelar estas infraestructuras criminales de una vez por todas.