AvNeutralizer emplea técnicas antianálisis para alterar la función de las soluciones de seguridad
Se ha observado que el actor de amenazas con motivación financiera conocido como FIN7 utiliza múltiples seudónimos en varios foros clandestinos para probablemente anunciar una herramienta que se sabe que utilizan grupos de ransomware como Black Basta.
"AvNeutralizer (también conocido como AuKill), una herramienta altamente especializada desarrollada por FIN7 para manipular soluciones de seguridad, ha sido comercializada en el mundo criminal y utilizada por múltiples grupos de ransomware", dijo en un informe la empresa de ciberseguridad SentinelOne.
FIN7, un grupo de delincuencia electrónica de origen ruso y ucraniano, ha sido una amenaza persistente desde al menos 2012, cambiando de rumbo de su objetivo inicial a terminales de punto de venta (PoS) a actuar como afiliado de ransomware para bandas ahora desaparecidas como REvil y Conti, antes de lanzar sus propios programas de ransomware como servicio (RaaS) DarkSide y BlackMatter.
El actor de amenazas, al que también se le rastrea con los nombres de Carbanak, Carbon Spider, Gold Niagara y Sangria Tempest (anteriormente Elbrus), tiene un historial de creación de empresas fachada como Combi Security y Bastion Secure para reclutar ingenieros de software involuntarios en esquemas de ransomware con el pretexto de realizar pruebas de penetración.
A lo largo de los años, FIN7 ha demostrado un alto nivel de adaptabilidad, sofisticación y experiencia técnica al reestructurar su arsenal de malware: POWERTRASH, DICELOADER (también conocido como IceBot, Lizar o Tirion), y una herramienta de prueba de penetración llamada Core Impact que se entrega a través del cargador POWERTRASH, a pesar de los arrestos y sentencias de algunos de sus miembros.
Esto se evidencia en las campañas de phishing a gran escala emprendidas por el grupo para distribuir ransomware y otras familias de malware mediante la implementación de miles de dominios "shell" que imitan negocios legítimos de medios y tecnología, según un reciente informe de Silent Push.
Alternativamente, estos dominios de shell se han utilizado ocasionalmente en una cadena de redireccionamiento convencional para enviar a los usuarios a páginas de inicio de sesión falsas que se hacen pasar por portales de administración de propiedades.
Estas versiones typosquat se anuncian en motores de búsqueda como Google, engañando a los usuarios que buscan software popular para que descarguen una variante con malware. Algunas de las herramientas objetivo incluyen 7-Zip, PuTTY, AIMP, Notepad++, Advanced IP Scanner, AnyDesk, pgAdmin, AutoDesk, Bitwarden, Rest Proxy, Python, Sublime Text y Node.js.
Vale la pena señalar que el uso de tácticas de publicidad maliciosa por parte de FIN7 fue destacado previamente tanto por eSentire como por Malwarebytes en mayo de 2024, y las cadenas de ataque llevaron a la implementación de NetSupport RAT.
"FIN7 alquila una gran cantidad de IP dedicadas en varios hosts, pero principalmente en Stark Industries, un popular proveedor de hosting a prueba de balas que ha sido vinculado a ataques DDoS en Ucrania y en toda Europa", señaló Silent Push.
Los últimos hallazgos de SentinelOne muestran que FIN7 no sólo ha utilizado varias personas en foros de cibercrimen para promover la venta de AvNeutralizer, sino que también ha improvisado la herramienta con nuevas capacidades.
Esto se basa en el hecho de que varios grupos de ransomware comenzaron a utilizar versiones actualizadas del programa de deterioro EDR a partir de enero de 2023, que hasta entonces era utilizado exclusivamente por el grupo Black Basta.
El investigador de SentinelLabs, Antonio Cocomazzi, dijo que la publicidad de AvNeutralizer en foros clandestinos no debería tratarse como una nueva táctica de malware como servicio (MaaS) adoptada por FIN7 sin evidencia adicional.
"FIN7 tiene un historial de desarrollo y uso de sofisticadas herramientas para sus propias operaciones", afirmó Cocomazzi. "Sin embargo, vender herramientas a otros ciberdelincuentes podría verse como una evolución natural de sus métodos para diversificarse y generar ingresos adicionales".
"Históricamente, FIN7 ha utilizado mercados clandestinos para generar ingresos. Por ejemplo, el Departamento de Justicia informó que desde 2015, FIN7 robó con éxito datos de más de 16 millones de tarjetas de pago, muchas de las cuales se vendieron en mercados clandestinos. Si bien esto era más común en la era anterior al ransomware, la publicidad actual de AvNeutralizer podría indicar un cambio o una expansión en su estrategia".
"Esto podría deberse a las crecientes protecciones que ofrecen las soluciones EDR actuales en comparación con los sistemas AV anteriores. A medida que estas defensas han mejorado, la demanda de herramientas de deterioro como AvNeutralizer ha crecido significativamente, especialmente entre los operadores de ransomware. Los atacantes ahora enfrentan desafíos más difíciles para eludir estas protecciones, lo que hace que estas herramientas sean muy valiosas y costosas".
Por su parte, la versión actualizada de AvNeutralizer emplea técnicas antianálisis y, lo más importante, aprovecha un controlador integrado de Windows llamado "ProcLaunchMon.sys" para alterar la función de las soluciones de seguridad y evadir la detección. Se cree que la herramienta ha estado en desarrollo activo desde abril de 2022.
Esta técnica, también utilizada por el Grupo Lazarus, es aún más preocupante dado que va más allá del tradicional ataque Bring Your Own Vulnerable Driver (BYOVD) al convertir en arma un controlador vulnerable ya presente de forma predeterminada en las máquinas con Windows.
Otra actualización digna de mención se refiere a la plataforma Checkmarks de FIN7, que ha sido modificada para incluir un módulo de ataque de inyección SQL automatizado para explotar aplicaciones públicas.
"En sus campañas, FIN7 ha adoptado métodos de ataque automatizados, dirigidos a servidores públicos mediante ataques automatizados de inyección SQL", dijo SentinelOne. "Además, su desarrollo y comercialización de herramientas especializadas como AvNeutralizer dentro de foros criminales clandestinos mejoran significativamente el impacto del grupo".