Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

FIN7: quando dai POS al ransomware, il passo è breve

Redazione RHC : 5 Agosto 2024 06:58

Gli esperti hanno scoperto nuove prove che il famigerato gruppo di hacker FIN7 continua a migliorare i suoi metodi di attacco e ad espandere la sua influenza nell’underground criminale. Secondo una recente ricerca, gli hacker utilizzano una varietà di alias per mascherare la loro vera identità e supportare operazioni criminali nei forum clandestini.

FIN7 è operativo dal 2012. Durante questo periodo è riuscito a causare danni significativi a diversi settori dell’economia, tra cui il settore alberghiero, l’energia, la finanza, l’alta tecnologia e il commercio al dettaglio.

Inizialmente la FIN7 utilizzava malware per terminali POS a scopo di frode finanziaria. Tuttavia, dal 2020, il gruppo ha spostato la sua attenzione sulle operazioni di ransomware, unendosi a noti gruppi RaaS (ransomware as a service) come REvil e Conti, oltre a lanciare i propri programmi RaaS chiamati Darkside e BlackMatter.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Uno dei tratti distintivi di FIN7 è la creazione di false società di sicurezza informatica. Il gruppo ha così fondato le società fittizie Combi Security e Bastion Secure per frodare. Nonostante l’arresto di alcuni membri del gruppo, le attività della FIN7 continuano, segnalando cambiamenti di tattica, pause temporanee o l’emergere di sottogruppi scissionisti.

    Nuovi dati mostrano che FIN7 sta vendendo attivamente i suoi strumenti nei forum criminali. Nello specifico, i ricercatori hanno trovato annunci pubblicitari che offrivano uno strumento di bypass specializzato chiamato AvNeutralizer (noto anche come AuKill).

    Un’analisi dell’attività su vari forum clandestini ha rivelato diversi alias presumibilmente associati a FIN7:

    • “buonosoft”
    • “lefroggy”
    • “killerAV”
    • “Stupore”

    Questi utenti hanno pubblicato annunci simili per la vendita di strumenti per aggirare i sistemi antivirus e i framework post-exploitation. L’arsenale di FIN7 comprende una serie di strumenti sofisticati, ciascuno progettato per una fase specifica dell’attacco:

    1. Powertrash è uno script PowerShell fortemente offuscato per caricare in modo riflessivo i file PE in memoria.
    2. Diceloader (noto anche come Lizar e IceBot) è una backdoor minima per stabilire un canale di comando e controllo (C2).
    3. Backdoor basato su SSH: un insieme di strumenti basati su OpenSSH e 7zip per fornire accesso permanente ai sistemi compromessi.
    4. Core Impact è uno strumento commerciale di test di penetrazione utilizzato da FIN7 per sfruttare le vulnerabilità.
    5. AvNeutralizer è uno strumento specializzato per aggirare le soluzioni di sicurezza.

    Di particolare interesse è l’evoluzione dello strumento AvNeutralizer. L’ultima versione di questo malware utilizza una tecnica precedentemente sconosciuta per aggirare alcune implementazioni di processi protetti utilizzando il driver Windows integrato ProcLaunchMon.sys (TTD Monitor Driver).

    FIN7 ha anche sviluppato un sistema di attacco automatizzato chiamato Checkmarks. Questa piattaforma mira principalmente a sfruttare i server pubblici Microsoft Exchange utilizzando le vulnerabilità ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207).

    Inoltre, la piattaforma Checkmarks include un modulo Auto-SQLi per attacchi SQL injection. Se i tentativi iniziali non hanno successo, lo strumento SQLMap esegue la scansione delle destinazioni per potenziali vulnerabilità di SQL injection.

    I ricercatori hanno scoperto numerose intrusioni utilizzando vulnerabilità di SQL injection che prendono di mira server pubblici attraverso lo sfruttamento automatizzato. Questi attacchi sono attribuiti a FIN7 con moderata sicurezza. La maggior parte di queste intrusioni si è verificata nel 2022, in particolare nel terzo trimestre, colpendo aziende statunitensi nei settori manifatturiero, legale e governativo.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    Offerta Speciale: Paghi il Telefono ed in omaggio ricevi un Malware! La nuova ondata Triada

    Gli specialisti di Kaspersky Lab hanno scoperto una nuova versione del malware Triada. Il malware è stato trovato sui nuovi dispositivi Android. Secondo l’azienda, solo dal 13 al...

    Il 19enne membro della cyber-gang d’élite Scattered Spider rischia 60 anni di reclusione

    Un membro del gruppo hacker di Scattered Spider, è stato accusato di furto di criptovaluta su larga scala e operazioni di hacking dei sistemi aziendali. Noah Michael Urban è stato arres...

    Reti WiFi Aperte: Un Terreno Fertile per il Cybercrime 

    Oggigiorno il proliferare di dispositivi portatili, indossabili o comunque Smart hanno reso indispensabile lo scambio di dati, l’accesso alle risorse e la navigazione in rete.  Questo appr...

    La SIAE prende la sua Rivincita! I Criminali Everest sono stati Hackerati da altri criminali informatici

    Chi si occupa di sicurezza informatica ricorderà bene l’attacco del gennaio 2022 contro la SIAE, la Società Italiana degli Autori ed Editori. All’epoca, il colpo fece molto sca...

    Vuoi un Passaporto o una Patente Auto Nuova? Nessun problema, c’è ChatGPT-4o!

    Nel mondo della cybersecurity, ogni innovazione tecnologica porta con sé nuove opportunità… e gli hacker criminali sono subito pronti a trarne un loro vantaggio. pertanto ogni nuova t...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006