Un análisis exhaustivo de FIN7 ha desenmascarado la jerarquía organizativa del sindicato de ciberdelincuentes, además de desentrañar su papel como afiliado para montar ataques de ransomware. También ha sacado a la luz asociaciones más profundas entre el grupo y el ecosistema de amenazas más amplio que comprende las familias de ransomware DarkSide, REvil y LockBit, ya desaparecidas. Este grupo de amenazas tan activo, también conocido como Carbanak, es conocido por emplear un amplio arsenal de herramientas y tácticas para ampliar sus "horizontes de ciberdelincuencia", entre las que se incluyen la incorporación del ransomware a su libro de jugadas y la creación de falsas empresas de seguridad para engañar a los investigadores con el fin de que lleven a cabo ataques de ransomware bajo la apariencia de pruebas de penetración. Más de 8.147 víctimas se han visto comprometidas por este adversario con motivaciones financieras en todo el mundo, la mayoría de ellas en Estados Unidos. Otros países destacados son China, Alemania, Canadá, Italia y el Reino Unido. A lo largo de los años, las técnicas de intrusión de FIN7 se han diversificado más allá de la ingeniería social tradicional para incluir unidades USB infectadas, el compromiso de la cadena de suministro de software y el uso de credenciales robadas adquiridas en mercados clandestinos. "Hoy en día, su enfoque inicial consiste en elegir cuidadosamente empresas de alto valor del conjunto de sistemas empresariales ya comprometidos y obligarlas a pagar grandes rescates para restaurar sus datos o buscar formas únicas de monetizar los datos y el acceso remoto", afirma PRODAFT en un informe. Según la empresa suiza de ciberseguridad, también se ha observado que los actores de la amenaza utilizan como arma fallos de Microsoft Exchange como CVE-2020-0688, CVE-2021-42321, ProxyLogon y ProxyShell en Microsoft Exchange Server para introducirse en los entornos objetivo. A pesar del uso de tácticas de doble extorsión, los ataques montados por el grupo han desplegado puertas traseras en los sistemas comprometidos, incluso en escenarios en los que la víctima ya ha pagado un rescate. La idea es revender el acceso a otros conjuntos de ransomware y volver a atacar a las víctimas como parte de su esquema ilícito de obtención de dinero, lo que subraya sus intentos de minimizar los esfuerzos y maximizar los beneficios, por no hablar de priorizar a las empresas en función de sus ingresos anuales, las fechas de fundación y el número de empleados. Esto "demuestra un tipo particular de estudio de viabilidad considerado un comportamiento único entre los grupos de ciberdelincuentes", afirman los investigadores. Dicho de otro modo, el modus operandi de FIN7 se reduce a esto: Utiliza servicios como Dun & Bradstreet (DNB), Crunchbase, Owler y Zoominfo para preseleccionar las empresas y organizaciones con mayores ingresos. También utiliza otras plataformas de análisis de sitios web como MuStat y Similarweb para controlar el tráfico a los sitios de las víctimas. El acceso inicial se obtiene a través de uno de los muchos vectores de intrusión, seguido de la filtración de datos, el cifrado de archivos y, finalmente, la determinación del importe del rescate en función de los ingresos de la empresa. Estas secuencias de infección también están diseñadas para cargar troyanos de acceso remoto como Carbanak, Lizar (alias Tirion) y IceBot, este último documentado por primera vez por Gemini Advisory, propiedad de Recorded Future, en enero de 2022. Otras herramientas desarrolladas por FIN7 incluyen módulos para automatizar análisis de servidores Microsoft Exchange vulnerables y otras aplicaciones web públicas, así como Cobalt Strike para la post-explotación. Otro indicio de que los grupos delictivos funcionan como las empresas tradicionales es que FIN7 sigue una estructura de equipo formada por directivos de alto nivel, desarrolladores, pentesters, afiliados y equipos de marketing, cada uno de ellos con responsabilidades individuales. Mientras que dos miembros llamados Alex y Rash son los principales responsables de la operación, un tercer miembro de la dirección llamado Sergey-Oleg se encarga de delegar tareas en los demás asociados del grupo y supervisar su ejecución. Sin embargo, también se ha observado que los operadores en puestos de administrador recurren a la coacción y el chantaje para intimidar a los miembros del equipo para que trabajen más y lanzan ultimátums para "perjudicar a sus familiares en caso de dimitir o eludir responsabilidades". Los hallazgos se producen más de un mes después de que la empresa de ciberseguridad SentinelOne identificara posibles vínculos entre FIN7 y la operación de ransomware Black Basta. "FIN7 se ha consolidado como un grupo APT extraordinariamente versátil y conocido que tiene como objetivo las compañías empresariales", concluyó PRODAFT. "Su movimiento característico consiste en investigar a fondo las empresas basándose en sus ingresos, número de empleados, sede central e información del sitio web para identificar los objetivos más rentables. Aunque tienen problemas internos relacionados con la distribución desigual de los recursos monetarios obtenidos y prácticas algo cuestionables hacia sus miembros, han conseguido establecer una fuerte presencia en la esfera del cibercrimen."