Eine umfassende Analyse von FIN7 hat die Organisationshierarchie des Cybercrime-Syndikats aufgedeckt und seine Rolle als Partner für Ransomware-Angriffe enträtselt.
Außerdem wurden tiefere Verbindungen zwischen der Gruppe und dem größeren Bedrohungsökosystem aufgedeckt, zu dem auch die inzwischen aufgelösten Ransomware-Familien DarkSide, REvil und LockBit gehören.
Die hochaktive Bedrohungsgruppe, die auch unter dem Namen Carbanak bekannt ist, ist dafür bekannt, dass sie ein umfangreiches Arsenal an Werkzeugen und Taktiken einsetzt, um ihren „Cybercrime-Horizont“ zu erweitern. Dazu gehört auch, dass sie Ransomware zu ihrem Spielbuch hinzufügt und gefälschte Sicherheitsunternehmen gründet, um Forscher unter dem Deckmantel von Penetrationstests zu Ransomware-Angriffen zu verleiten.
Mehr als 8.147 Opfer wurden weltweit von dem finanziell motivierten Angreifer kompromittiert, die meisten davon in den USA. Weitere bekannte Länder sind China, Deutschland, Kanada, Italien und Großbritannien.
Im Laufe der Jahre hat FIN7 seine Einbruchsmethoden über das traditionelle Social Engineering hinaus erweitert und infizierte USB-Laufwerke, die Kompromittierung der Software-Lieferkette und die Verwendung gestohlener Zugangsdaten, die auf Untergrundmärkten erworben wurden, eingesetzt.
„Heutzutage besteht ihr erster Ansatz darin, sorgfältig hochwertige Unternehmen aus dem Pool der bereits kompromittierten Unternehmenssysteme auszuwählen und sie zu zwingen, hohe Lösegelder für die Wiederherstellung ihrer Daten zu zahlen oder nach einzigartigen Wegen zu suchen, um die Daten und den Fernzugriff zu Geld zu machen“, so PRODAFT in einem Bericht, der The Hacker News vorliegt.
Nach Angaben des Schweizer Cybersecurity-Unternehmens wurde die russischsprachige Hackergruppe auch dabei beobachtet, wie sie mehrere Schwachstellen in Microsoft Exchange wie CVE-2020-0688, CVE-2021-42321, ProxyLogon und ProxyShell ausnutzte, um in die Zielumgebungen einzudringen.
Ungeachtet der doppelten Erpressungstaktik haben die Angreifer SSH-Hintertüren in die kompromittierten Systeme eingebaut, selbst in Fällen, in denen das Opfer bereits ein Lösegeld bezahlt hat.
Die Idee ist es, den Zugang zu anderen Ransomware-Outfits weiterzuverkaufen und die Opfer als Teil ihres illegalen Geldverdienens erneut ins Visier zu nehmen. Das unterstreicht ihre Versuche, den Aufwand zu minimieren und den Gewinn zu maximieren, ganz zu schweigen davon, dass sie Unternehmen auf der Grundlage ihres Jahresumsatzes, ihres Gründungsdatums und der Anzahl ihrer Mitarbeiter bevorzugt behandeln.
Dies „zeigt eine besondere Art von Machbarkeitsstudie, die als einzigartiges Verhalten unter Cybercrime-Gruppen gilt“, so die Forscher.
Anders ausgedrückt, der Modus Operandi von FIN7 lässt sich wie folgt zusammenfassen: Es nutzt Dienste wie Dun & Bradstreet(DNB), Crunchbase, Owler und Zoominfo, um die Firmen und Organisationen mit den höchsten Einnahmen in die engere Wahl zu nehmen. Außerdem nutzt er andere Website-Analyseplattformen wie MuStat und Similarweb, um den Traffic auf den Websites der Opfer zu überwachen.
Der erste Zugriff erfolgt dann über einen der vielen Einbruchsvektoren, gefolgt von der Exfiltration von Daten, der Verschlüsselung von Dateien und schließlich der Festlegung des Lösegeldbetrags auf der Grundlage des Umsatzes des Unternehmens.
Diese Infektionssequenzen sind auch darauf ausgelegt, Remote-Access-Trojaner wie Carbanak, Lizar (auch bekannt als Tirion) und IceBot zu laden. Letzterer wurde erstmals im Januar 2022 von dem zu Recorded Future gehörenden Unternehmen Gemini Advisory dokumentiert.
Andere von FIN7 entwickelte und bereitgestellte Tools sind ein Modul namens Checkmarks, das Massenscans für verwundbare Microsoft Exchange Server und andere öffentlich zugängliche Webanwendungen automatisiert, sowie Cobalt Strike für die Nachnutzung.
Ein weiteres Indiz dafür, dass kriminelle Gruppen wie herkömmliche Unternehmen funktionieren, ist die Teamstruktur von FIN7, die sich aus der obersten Führungsebene, Entwicklern, Pentestern, Partnern und Marketingteams zusammensetzt, von denen jedes einzelne mit individuellen Aufgaben betraut ist.
Während zwei Mitglieder namens Alex und Rash die Hauptakteure hinter der Operation sind, ist ein drittes Mitglied der Geschäftsleitung namens Sergey-Oleg dafür verantwortlich, Aufgaben an die anderen Mitglieder der Gruppe zu delegieren und deren Ausführung zu beaufsichtigen.
Eine Untersuchung des Jabber-Konversationsverlaufs der Gruppe hat jedoch ergeben, dass die Betreiber in den Administratorpositionen Zwang und Erpressung anwenden, um die Teammitglieder einzuschüchtern, damit sie mehr arbeiten, und ihnen Ultimaten stellen, um „ihre Familienmitglieder zu verletzen, falls sie kündigen oder sich der Verantwortung entziehen.“
Die Ergebnisse kommen mehr als einen Monat, nachdem das Cybersecurity-Unternehmen SentinelOne mögliche Verbindungen zwischen FIN7 und der Ransomware-Operation Black Basta festgestellt hat.
„FIN7 hat sich als eine außerordentlich vielseitige und bekannte APT-Gruppe etabliert, die es auf Unternehmen abgesehen hat“, so PRODAFT. „Ihr Markenzeichen ist es, die Unternehmen anhand ihres Umsatzes, ihrer Mitarbeiterzahl, ihres Hauptsitzes und ihrer Website gründlich zu untersuchen, um die profitabelsten Ziele ausfindig zu machen.“
„Trotz interner Probleme im Zusammenhang mit der ungleichen Verteilung der erlangten Geldmittel und etwas fragwürdigen Praktiken gegenüber ihren Mitgliedern ist es ihnen gelungen, eine starke Präsenz im Bereich der Cyberkriminalität aufzubauen.“