El Regreso del Grupo Cibercriminal Fin7
En el oscuro y laberíntico universo de la ciberseguridad, hay un nombre que resuena con fuerza y temor: Fin7. Este grupo cibercriminal, originario de Rusia, se ha destacado por sus ataques de phishing y malware, estimándose que han provocado pérdidas de aproximadamente 3 mil millones de dólares desde 2013. Aunque en 2023 las autoridades estadounidenses proclamaron el fin de Fin7 tras la captura de algunos de sus miembros de alto rango, los expertos afirman que el grupo ha resurgido con más fuerza en 2024.
Renaciendo de las Cenizas
En abril de 2024, Blackberry dio la alarma al descubrir una intrusión por parte de Fin7 en una gran empresa automotriz, la cual comenzó con un malware distribuido a través de un ataque de typosquatting. Pero, ¿qué es el typosquatting? Se trata de un método en el que los cibercriminales registran dominios similares a los de sitios legítimos y populares para engañar a los usuarios. Fin7 utiliza esta técnica para colocar enlaces patrocinados en los resultados de búsqueda, superando así a los sitios originales y legítimos.
Infraestructuras de Ciberdelito en Crecimiento
Silent Push, una firma de seguridad, ha logrado mapear la infraestructura en constante crecimiento de Fin7, identificando más de 4,000 hosts empleados en diversas actividades maliciosas. Estos incluyen desde anuncios trampa y extensiones de navegador maliciosas hasta dominios que llevan a cabo spearphishing, una técnica más sofisticada y dirigida de phishing. Entre las marcas que Fin7 ha imitado están Google, Microsoft 365, Netflix, Amazon, y muchas otras que forman parte de nuestra vida diaria digital.
Aging de Dominios: Una Estrategia Encubierta
Una de las estrategias más astutas de Fin7 es el “aging” de dominios. Registran dominios inofensivos que aparentan ser negocios genéricos usando plantillas web por defecto. Pasados unos meses, estos dominios empiezan a ganar reputación positiva. Solo entonces los transforman en plataformas para el phishing específico de marcas.
Aprovechando las Tecnologías y Trucos Más Recientes
Fin7 no solo se conforma con el typosquatting. Han sido detectados usando anuncios patrocinados en Google para distribuir extensiones de navegador falsas que instalan malware en las computadoras de las víctimas. Herramientas de software populares como 7-zip, PuTTY, y Notepad++ son algunos de los objetivos frecuentes de sus ataques.
Stark Industries Solutions: El Nuevo Aliado
Uno de los factores clave en el resurgimiento de Fin7 ha sido su alianza con Stark Industries Solutions, un proveedor de hosting conocido por ser una fuente persistente de ciberataques a enemigos de Rusia. Los analistas de seguridad han descubierto que una parte considerable de la infraestructura de Fin7 está hospedada en los recursos de esta compañía, la cual surgió apenas dos semanas antes de la invasión de Rusia a Ucrania.
Conclusión: ¿Qué Sigue?
El regreso de Fin7 representa una amenaza tangible y creciente. Grupos como Silent Push están haciendo un esfuerzo significativo para rastrear y mapear estas actividades, esperando que las autoridades tomen medidas contundentes para erradicar esta amenaza. Sin embargo, la batalla contra el ciberdelito está lejos de terminar. La constante evolución de las técnicas y tácticas criminales exige una vigilancia y adaptación continuas por parte de todos los que estamos en la primera línea de la ciberseguridad.
Mantente vigilante y siempre atento a las señales de posible actividad sospechosa. La educación y la concienciación son nuestras mejores armas en esta guerra digital interminable.