Οι Ρώσοι hackers FIN7 χρησιμοποιούν πολλαπλά ψευδώνυμα σε πολλά υπόγεια φόρουμ για να διαφημίσουν πιθανότατα ένα εργαλείο που είναι γνωστό ως AvNeutralizer και χρησιμοποιείται από ομάδες ransomware όπως η Black Basta.

Το AvNeutralizer (γνωστό και ως AuKill) είναι ένα εξαιρετικά εξειδικευμένο εργαλείο που αναπτύχθηκε από την ομάδα FIN7 για να παραβιάσει λύσεις ασφαλείας. Έχει διατεθεί στο εμπόριο και χρησιμοποιείται από πολλές ομάδες ransomware“, ανέφερε η εταιρεία κυβερνοασφάλειας SentinelOne.

Οι hackers δραστηριοποιούνται τουλάχιστον από το 2012. Ξεκίνησαν με τη στόχευση συστημάτων PoS και έχουν φτάσει στο σημείο να λειτουργούν τις δικές τους ransomware επιχειρήσεις.

Με τα χρόνια, η FIN7 έχει επιδείξει υψηλό επίπεδο προσαρμοστικότητας, πολυπλοκότητας και τεχνικής εξειδίκευσης, δημιουργώντας νέα malware, όπως τα POWERTRASH, DICELOADER (γνωστός και ως IceBot, Lizar ή Tirion) και ένα εργαλείο penetration testing που ονομάζεται Core Impact. Παρά τις συλλήψεις ορισμένων μελών, η ομάδα παραμένει επικίνδυνη.

Δείτε επίσης: Οι hackers χρησιμοποιούν PoC exploits 22 λεπτά μετά την κυκλοφορία τους!

Αυτό φαίνεται και από τις επιθέσεις phishing που πραγματοποιεί, με την παράδοση ransomware και άλλων malware και την ανάπτυξη χιλιάδων “shell” domains που μιμούνται νόμιμες επιχειρήσεις πολυμέσων και τεχνολογίας (σύμφωνα με πρόσφατη αναφορά της Silent Push).

Αυτά τα shell domains έχουν χρησιμοποιηθεί περιστασιακά για την αποστολή χρηστών σε ψευδείς σελίδες σύνδεσης που μεταμφιέζονται σε property management portals.

Αυτές οι εκδόσεις typosquat διαφημίζονται σε μηχανές αναζήτησης όπως η Google, παραπλανώντας τους χρήστες, που αναζητούν δημοφιλές λογισμικό, ώστε να κατεβάσουν μια παραλλαγή με κακόβουλο λογισμικό. Μερικά από τα στοχευόμενα εργαλεία περιλαμβάνουν τα 7-Zip, PuTTY, AIMP, Notepad++, Advanced IP Scanner, AnyDesk, pgAdmin, AutoDesk, Bitwarden, Rest Proxy, Python, Sublime Text και Node.js.

Αξίζει να σημειωθεί ότι η χρήση κακόβουλων διαφημίσεων από τους hackers FIN7 είχαν προηγουμένως επισημανθεί από την eSentire και τη Malwarebytes.

Η FIN7 νοικιάζει μεγάλο αριθμό αποκλειστικών IP σε έναν αριθμό κεντρικών υπολογιστών, αλλά κυρίως στη Stark Industries, έναν δημοφιλή πάροχο bulletproof hosting που έχει συνδεθεί με επιθέσεις DDoS στην Ουκρανία και σε ολόκληρη την Ευρώπη“, σημείωσε η Silent Push.

Δείτε επίσης: Ιαπωνία: Επιθέσεις από τους hackers Kimsuky

Τα τελευταία ευρήματα από τη SentinelOne δείχνουν ότι οι hackers

FIN7 όχι μόνο έχουν χρησιμοποιήσει διάφορα ψευδώνυμα για να προωθήσουν το εργαλείο AvNeutralizer, αλλά έχουν επίσης τροποποιήσει το εργαλείο και έχουν προσθέσει νέες δυνατότητες.

Ο ερευνητής της SentinelLabs, Antonio Cocomazzi, είπε στο The Hacker News: “Η FIN7 έχει μια ιστορία ανάπτυξης και χρήσης εξελιγμένων εργαλείων για τις δικές της λειτουργίες. Ωστόσο, η πώληση εργαλείων σε άλλους εγκληματίες του κυβερνοχώρου θα μπορούσε να θεωρηθεί ως μια φυσική εξέλιξη των μεθόδων τους για τη διαφοροποίηση και τη δημιουργία πρόσθετων εσόδων“.

Η τρέχουσα διαφήμιση του AvNeutralizer θα μπορούσε να σηματοδοτήσει μια αλλαγή ή επέκταση στη στρατηγική τους” συμπλήρωσε.

Δείτε επίσης: Hackers λένε ότι παραβίασαν βάση δεδομένων της KFC

Ο ειδικός είπε ότι η αυξανόμενη προστασία, που παρέχουν οι σημερινές λύσεις EDR, έχει αυξήσει σημαντικά τη ζήτηση για εργαλεία όπως το AvNeutralizer, ιδιαίτερα μεταξύ των χειριστών ransomware. “Οι επιτιθέμενοι αντιμετωπίζουν πλέον σκληρότερες προκλήσεις για να παρακάμψουν αυτές τις προστασίες, καθιστώντας τέτοια εργαλεία εξαιρετικά πολύτιμα και ακριβά“. Η ενημερωμένη έκδοση του AvNeutralizer χρησιμοποιεί τεχνικές αντι-ανάλυσης και αξιοποιεί ένα Windows built-in driver που ονομάζεται “ProcLaunchMon.sys” σε συνδυασμό με το Process Explorer driver για να παραβιάσει τη λειτουργία των λύσεων ασφαλείας και να αποφύγει τον εντοπισμό.

Οι Ρώσοι hackers έχουν αποκτήσει φήμη για την ικανότητά τους να εκτελούν πολύπλοκες και συντονισμένες κυβερνοεπιθέσεις. Αυτές οι επιθέσεις συχνά στοχεύουν κρίσιμες υποδομές, κυβερνητικούς οργανισμούς και μεγάλες επιχειρήσεις, προκαλώντας σημαντικές διαταραχές και ζημίες.

Οι επιθέσεις από Ρώσους hackers έχουν οδηγήσει σε αυξημένη επένδυση στην έρευνα και ανάπτυξη νέων τεχνολογιών κυβερνοασφάλειας. Οι εταιρείες αναζητούν συνεχώς νέους τρόπους για να προστατεύσουν τα συστήματά τους από τις εξελιγμένες απειλές, με αποτέλεσμα την ανάπτυξη νέων εργαλείων και μεθόδων ανίχνευσης και απόκρισης σε κυβερνοεπιθέσεις.

Πηγή: thehackernews.com