El pasado jueves un tribunal de Estados Unidos condenó a un ciudadano ucraniano a una pena de cinco años de prisión por su participación en una oleada de ciber delincuencia a escala mundial que duró una década y en la que se robaron más de 20 millones de registros de tarjetas de clientes y se obtuvieron ganancias de más de 1.000 millones de dólares.
De 32 años, Denys Iarnak, actuó como probador de penetración de sistemas en nombre del nexo de ciber delincuencia FIN7, que también es rastreado como Carbon Spider y Gold Niagara. El grupo con sede en Rusia ha sido asociado últimamente con el uso de los ransomware REvil y Darkside.
Él fue detenido en Tailandia en 2019 y posteriormente extraditado a Estados Unidos para ser juzgado, y se declaró culpable el pasado noviembre de un cargo de fraude electrónico y otro de conspiración para cometer “hackeo” informático. Por delitos similares ya han sido encarcelados otros dos miembros del colectivo, detenidos en 2018.
Kenneth Polite, el fiscal general adjunto de la División Penal del Departamento de Justicia, dijo que, "Iarmak y sus conspiradores comprometieron millones de cuentas financieras, causando más de mil millones de dólares en pérdidas para los estadounidenses y costos para la economía de Estados Unidos".
"La protección de las empresas -tanto grandes como pequeñas- en línea es una prioridad absoluta para el Departamento de Justicia. Estamos comprometidos a trabajar con nuestros socios internacionales para que estos ciber delincuentes rindan cuentas, sin importar dónde vivan o cuán anónimos se crean."
El fiscal estadounidense Nicholas Brown, del Distrito Oeste de Washington, que se encargó de la acusación, añadió: "Iarmak participó directamente en el diseño de correos electrónicos de phishing incrustados con malware, en la intrusión en las redes de las víctimas y en la extracción de datos como la información de las tarjetas de pago".
"Para empeorar las cosas, continuó su trabajo con la empresa criminal FIN7 incluso después de las detenciones y el enjuiciamiento de los co-conspiradores. Él y otros miembros de este grupo de ciber delincuencia utilizaron técnicas de piratería informática para robar esencialmente miles de locales de múltiples cadenas de restaurantes a la vez, desde la comodidad y la seguridad de sus teclados en países lejanos."
El tribunal escuchó cómo FIN7 accedió a las redes de negocios de Estados Unidos, Reino Unido, Australia y Francia, robando registros de más de 6.500 terminales de punto de venta en más de 3.600 locales. Cadenas de restaurantes de Estados Unidos como Chipotle y Panera, y las tiendas Saks Fifth Avenue y Lord & Taylor, se encuentran entre la lista de víctimas conocidas.
Por lo general, se inclinaba por las empresas del sector de la hostelería, a las que dirigía mensajes de correo electrónico de suplantación de identidad adaptados a sus necesidades, que seguían con llamadas telefónicas a sus víctimas, lo que daba mayor legitimidad a sus señuelos.
Una vez convencidos de abrir y ejecutar el archivo adjunto al correo electrónico, FIN7 utilizaba una versión adaptada del “malware” Carbanak y otras herramientas para acceder y robar los datos de las tarjetas de pago de los clientes. Muchos de estos datos aparecieron posteriormente a la venta en la “dark web”.
Puede que no sea estrictamente exacto referirse a FIN7 con el nombre de Carbanak, ya que hay que tener en cuenta que aunque el grupo ha sido rastreado como este nombre por algunos investigadores, se sabe que otros grupos de ciber delincuentes utilizan Carbanak.
Iarmak se involucró con el grupo en algún momento alrededor de noviembre de 2016 y trabajó para él durante un período de dos años. Se especializó en el uso del paquete de “software” legítimo de gestión de proyectos Jira, que FIN7 alojaba en varios servidores virtuales privados, para coordinar las actividades de la banda y gestionar sus intrusiones en la red.
Las autoridades creen que recibió una importante compensación por su trabajo para FIN7, cuyo valor supuestamente "superaba con creces un empleo legítimo comparable en Ucrania".
Todavía muy activo
El grupo a pesar de las detenciones y condenas de miembros clave de FIN7, sigue activo y continúa evolucionando sus tácticas, técnicas y procedimientos.
A principios de abril, los investigadores de la empresa de ciberseguridad Mandiant, que han desempeñado un papel decisivo en el seguimiento de FIN7, publicaron nuevos datos sobre las últimas actividades del grupo.
Recientemente el grupo ha recurrido con entusiasmo al compromiso de la cadena de suministro como medio para acceder a sus pretendidas víctimas; el año pasado, Mandiant reveló que FIN7 comprometió a un minorista de productos digitales y modificó varios enlaces de descarga para dirigirlos a un “bucket” (unidad de almacenamiento) de Amazon S3 que contenía versiones troyanizadas con un instalador de agentes que se utilizaba para desplegar un nuevo “backdoor” llamado Powerplant.
El marco de Powerplant permite una "vasta" amplitud de capacidades, dependiendo de los módulos que se entregan desde el servidor de comando y control (C2), y por lo tanto es altamente peligroso, dijo Mandiant.