{"id":11796,"date":"2019-05-13T15:58:45","date_gmt":"2019-05-13T18:58:45","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11796"},"modified":"2020-11-16T12:01:29","modified_gmt":"2020-11-16T15:01:29","slug":"fin7-still-exists","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/fin7-still-exists\/11796\/","title":{"rendered":"Grupo ligado ao Carbanak atinge mais de 130 empresas"},"content":{"rendered":"

No ano passado, a Europol e o Departamento de Justi\u00e7a dos EUA prenderam v\u00e1rios cibercriminosos por supostamente liderarem os grupos de hackers FIN7 e Carbanak<\/a>. A m\u00eddia anunciou o fim dessas cibergangues, mas nossos especialistas continuam detectando sinais de sua atividade. Al\u00e9m disso, outras associa\u00e7\u00f5es com interesses parecidos e question\u00e1veis, que usam conjuntos semelhantes de ferramentas e a mesma infraestrutura, est\u00e3o em ascens\u00e3o. Aqui est\u00e1 uma lista de seus principais instrumentos e estratagemas, juntamente com algumas dicas sobre como manter sua empresa protegida.<\/p>\n

FIN7<\/h3>\n

O FIN7 \u00e9 especializado em ataques contra empresas, com intuito de obter acesso \u00e0s informa\u00e7\u00f5es financeiras ou infraestrutura de ponto de venda (PoS, por sua sigla em ingl\u00eas). Esses grupos usam campanhas de spear phishing<\/em><\/a> caracterizadas por sofisticada engenharia social. Por exemplo, antes de enviar documentos maliciosos, eles podem trocar v\u00e1rias mensagens relevantes com suas v\u00edtimas para evitar suspeitas.<\/p>\n

Na maioria dos casos, os ataques usavam documentos maliciosos<\/a> com macros que instalavam malware no computador da v\u00edtima e agendavam tarefas peri\u00f3dicas. Depois, recebiam os m\u00f3dulos e os executavam na mem\u00f3ria do sistema. Para ser mais preciso, vimos m\u00f3dulos que coletam informa\u00e7\u00f5es, baixam malwares adicionais, fazem capturas de tela e armazenam outras vers\u00f5es do mesmo malware nos registros do sistema (no caso, do primeiro ser detectado). E, \u00e9 claro, os cibercriminosos podem criar m\u00f3dulos adicionais a qualquer momento.<\/p>\n

Grupos CobaltGoblin\/Carbanak\/EmpireMonkey<\/h3>\n

Outros cibercriminosos usam ferramentas e t\u00e9cnicas semelhantes, apenas seus objetivos diferem: neste caso, os bancos e os desenvolvedores de softwares banc\u00e1rios e de fundos de processamento. A principal estrat\u00e9gia do grupo Carbanak (ou CobaltGoblin ou EmpireMonkey) \u00e9 para ganhar espa\u00e7o nas redes corporativas das v\u00edtimas e identificar par\u00e2metros que s\u00e3o de interesse e cont\u00eam informa\u00e7\u00f5es que podem ser rent\u00e1veis.<\/p>\n

A botnet AveMaria<\/h3>\n

AveMaria \u00e9 uma nova botnet<\/a> usada para roubar informa\u00e7\u00f5es que funciona da seguinte forma: quando infecta uma m\u00e1quina, come\u00e7a a recolher todas as credenciais do usu\u00e1rio que pode, pertencentes a softwares diferentes, como navegadores, e-mails e mensagens de clientes, entre outros.<\/p>\n

Para enviar a carga, os criminosos usam spear phishing<\/em>, engenharia social e anexos maliciosos. Nossos especialistas suspeitam que estejam relacionados ao FIN7, uma vez que existem semelhan\u00e7as entre seus m\u00e9todos e infraestrutura de comando e controle. Outra indica\u00e7\u00e3o de seu relacionamento \u00e9 a distribui\u00e7\u00e3o de objetivos: 30% de suas v\u00edtimas eram pequenas e m\u00e9dias empresas prestadoras ou provedoras de servi\u00e7os<\/a> para grandes empresas e 21% consistiam em v\u00e1rios tipos de organiza\u00e7\u00f5es envolvidas na produ\u00e7\u00e3o.<\/p>\n

CopyPaste<\/h3>\n

Nossos especialistas descobriram uma s\u00e9rie de atividades maliciosas, cujo nome de c\u00f3digo \u00e9 CopyPaste, dirigidas contra entidades financeiras e empresas em pa\u00edses africanos. Os cibercriminosos usaram v\u00e1rios m\u00e9todos e ferramentas semelhantes aos usados \u200b\u200bpelo FIN7. No entanto, \u00e9 prov\u00e1vel que esses golpistas tenham usado apenas o c\u00f3digo aberto vazado e n\u00e3o tenham relacionamentos reais com o FIN7<\/p>\n

Se voc\u00ea quer saber mais informa\u00e7\u00f5es t\u00e9cnicas detalhadas, incluindo os indicadores de comprometimento, acesse o Securelist.com<\/a>.<\/p>\n

Mantenha-se protegido<\/h3>\n