El grupo de ciberdelincuencia con sede en Rusia, conocido como “Fin7”, conocido por ataques de phishing y malware que han costado a las organizaciones víctimas unas pérdidas estimadas en 3.000 millones de dólares desde 2013, fue declarado muerto el año pasado por las autoridades estadounidenses. Pero los expertos afirman que Fin7 ha vuelto a la vida en 2024 (creando miles de sitios web que imitan a una variedad de empresas de medios y tecnología) con la ayuda de Stark Industries Solutions, un proveedor de alojamiento en expansión que es una fuente persistente de ciberataques contra los enemigos de Rusia. En mayo de 2023, el fiscal de Estados Unidos para el estado de Washington declaró que “Fin7 ya no es una entidad”, después de que los fiscales consiguieran condenas y penas de prisión contra tres hombres que se descubrió que eran piratas informáticos o gerentes de alto nivel de Fin7. Esta fue una declaración audaz contra un grupo que el Departamento de Justicia de Estados Unidos describió como una empresa criminal con más de 70 personas organizadas en unidades de negocio y equipos distintos. Las primeras señales del resurgimiento de Fin7 llegaron en abril de 2024, cuando Blackberry informó sobre una intrusión en una gran empresa automotriz que comenzó con malware distribuido mediante un ataque de typosquatting dirigido a personas que buscaban una popular herramienta gratuita de escaneo de redes. Ahora, los investigadores de la empresa de seguridad Silent Push dicen que han ideado una forma de mapear la infraestructura de ciberdelincuencia de Fin7, que está creciendo rápidamente y que incluye más de 4000 hosts que emplean una variedad de exploits, desde typosquatting y anuncios con trampas explosivas hasta extensiones de navegador maliciosas y dominios de phishing. Silent Push dijo que encontró dominios Fin7 que apuntaban o suplantaban marcas como American Express, Affinity Energy, Airtable, Alliant, Android Developer, Asana, Bitwarden, Bloomberg, Cisco (Webex), CNN, Costco, Dropbox, Grammarly, Google, Goto.com, Harvard, Lexis Nexis, Meta, Microsoft 365, Midjourney, Netflix, Paycor, Quickbooks, Quicken, Reuters, Regions Bank Onepass, RuPay, SAP (Ariba), Trezor, Twitter/X, Wall Street Journal, Westlaw y Zoom, entre otras. Zach Edwards, analista senior de amenazas en Silent Push, dijo que muchos de los dominios Fin7 son sitios web de apariencia inofensiva para empresas genéricas que a veces incluyen texto de plantillas de sitios web predeterminadas (el contenido de estos sitios a menudo no tiene nada que ver con el negocio o la misión declarados de la entidad). Edwards dijo que Fin7 hace esto para «envejecer» los dominios y darles una reputación positiva o al menos benigna antes de que finalmente se conviertan para su uso en el alojamiento de páginas de phishing específicas de la marca. “Les llevó de seis a nueve meses ponerse en marcha, pero desde enero de este año han estado trabajando duro, construyendo una infraestructura de phishing gigante y dominios obsoletos”, dijo Edwards sobre el grupo de ciberdelincuentes. En los ataques de typosquatting, Fin7 registra dominios que son similares a los de las herramientas de software libre más populares. Esos dominios similares se anuncian en Google para que los enlaces patrocinados a ellos aparezcan de forma destacada en los resultados de búsqueda, que normalmente están por encima de la fuente legítima del software en cuestión. Un sitio malicioso que suplanta a FreeCAD apareció de forma destacada como un resultado patrocinado en los resultados de búsqueda de Google a principios de este año. Según Silent Push, el software que Fin7 está atacando actualmente incluye 7-zip, PuTTY, ProtectedPDFViewer, AIMP, Notepad++, Advanced IP Scanner, AnyDesk, pgAdmin, AutoDesk, Bitwarden, Rest Proxy, Python, Sublime Text y Node.js. En mayo de 2024, la empresa de seguridad eSentire advirtió que Fin7 había sido detectado usando anuncios patrocinados de Google para mostrar ventanas emergentes que incitaban a las personas a descargar extensiones de navegador falsas que instalaban malware. Malwarebytes publicó en su blog sobre una campaña similar en abril, pero no atribuyó la actividad a ningún grupo en particular. Una ventana emergente en un dominio de Thomson Reuters que ponía en peligro a los visitantes y les decía que debían instalar una extensión de navegador para ver el contenido de las noticias. Edwards dijo que Silent Push descubrió los nuevos dominios de Fin7 después de una audiencia de una organización que fue atacada por Fin7 en años anteriores y sospechó que el grupo estaba activo nuevamente. La búsqueda de hosts que coincidieran con el perfil conocido de Fin7 reveló solo un sitio activo. Pero Edwards dijo que un sitio apuntaba a muchas otras propiedades de Fin7 en Stark Industries Solutions, un gran proveedor de alojamiento que se materializó solo dos semanas antes de que Rusia invadiera Ucrania. Como escribió KrebsOnSecurity en mayo, Stark Industries Solutions se está utilizando como base de operaciones para oleadas tras oleadas de ciberataques contra Ucrania que han estado vinculados a agencias militares y de inteligencia rusas. “FIN7 alquila una gran cantidad de IP dedicadas en Stark Industries”, dijo Edwards. “Nuestros analistas han descubierto numerosas IP de Stark Industries que están dedicadas exclusivamente a alojar la infraestructura de FIN7”. Fin7 alguna vez operó detrás de compañías de ciberseguridad falsas, con nombres como Combi Security y Bastion Secure, que usaban para contratar expertos en seguridad para ayudar en ataques de ransomware. Uno de los nuevos dominios de Fin7 identificados por Silent Push es cybercloudsec[.]com, que promete «hacer crecer su negocio con nuestras soluciones de TI, ciberseguridad y nube». La empresa de seguridad falsa Fin7, Cybercloudsec. Al igual que otros grupos de phishing, Fin7 se aprovecha de los acontecimientos actuales y, en este momento, está apuntando a los turistas que visitan Francia para los Juegos Olímpicos de verano a finales de este mes. Entre los nuevos dominios Fin7 que Silent Push encontró hay varios sitios que phishing a personas que buscan entradas para el Louvre. «Creemos que esta investigación deja claro que Fin7 está de vuelta y escalando rápidamente», dijo Edwards. «Tenemos la esperanza de que la comunidad policial tome nota de esto y vuelva a poner a Fin7 en su radar para acciones de cumplimiento adicionales, y que muchos de nuestros competidores puedan tomar este grupo y expandirse a toda o una buena parte de su infraestructura». Lectura adicional: Stark Industries Solutions: Un martillo de hierro en la nube. Un análisis profundo de Fin7 en 2022 de la empresa suiza de inteligencia de amenazas Prodaft (PDF).