Sus especialistas en inteligencia encontraron desde su forma de ataque hasta sus prácticas de comercialización de datos obtenidos
FireEye Inc. (NASDAQ: FEYE), empresa líder en detención de ataques cibernéticos avanzados, en conjunto con iSight Partners a través de sus especialistas en estrategias de inteligencia contra amenazas cibernéticas, realizaron una serie de investigaciones dirigidas a descubrir las actividades del grupo FIN6 dedicado al robo y extracción de datos.
Como resultado de sus operaciones de inteligencia, FireEye tiene una visibilidad extensa de las operaciones de FIN6, que incluye la intrusión inicial y la navegación en las redes de las víctimas, hasta la venta de datos extraídos de tarjetas bancarias mediante operaciones en mercados ilegales.
A partir de su trabajo, FireEye y iSight conformaron un informe del cual se presentan a continuación algunos de sus puntos relevantes:
Particularidades de las operaciones de FIN6
- El término FIN se refiere a grupos delincuenciales especializados en delitos cibernéticos financieros.
- FIN6 es un grupo criminal cibernético especializado en el robo de datos de tarjetas bancarias, obtenidos a partir de terminales punto de venta, para generar ingresos.
- Entre los sectores más atacados por el grupo destacan el de la hotelería y el de ventas del sectorminorista.
- Los datos obtenidos se vendieron en un mercado ilegal difícilmente detectable.
- FIN6 utilizó una amplia gama de herramientas y tácticas durante sus intrusiones en las redes informáticas de las víctimas.
- Este tipo de grupos emplean un alto nivel de planificación, organización y gestión de procesos y tareaspara lograr sus objetivos.
- Sus beneficios económicos los obtienen a partir de la venta de los datos robados (tanto de tarjetas bancarias como de identificación personal), la transferencia no autorizada de fondos (a través de números de cuentas bancarias robadas); o uso de información privilegiada.
Acceso indiscriminado o intencional
No está del todo claro cómo afecta a sus víctimas el grupo FIN6. Mandiant encontró que FIN6 ya poseía credenciales válidas para cada red afectada y llevar a cabo sus actividadesintrusivas.
En un caso se encontraron rastros de un malware denominado GRABNEW en el servidor de la víctima.
Al parecer, FIN 6 compró las credenciales de acceso para iniciar sus operaciones.
- El uso del malware GRABNEW por parte de FIN6 le ha permitido abrir más puertas de acceso en los sistemas comprometidos.
- Después de localizar sistemas de punto de venta dentro del entorno elegido, el grupo delincuencial extendió otro malware POS (Point of Sale) que se denomina Trinidad.
- FIN 6 también utiliza herramientas configuradas para conectarse a distancia y descargar y ejecutar shellcodes.
- En otro caso particular, FIN6 comprometido y desplegó un malware denominado TRINIDAD en alrededor de dos mil sistemas, lo que resultó en millones de tarjetas bancarias vulneradas.
Tiendas de tarjetas SUBTERRÁNEAS
Gracias a sus servicios de inteligencia, iSIGHT Partners descubrió que los datos de tarjetas de pago robados a partir de esas intrusiones fueron vendidos en una tienda de tarjetas de metro (no se especifica el país).
Esa tienda se publicita en varios foros de delincuencia cibernética subterránea y ofrece acceso a millones de tarjetas de pago robadas.
- Se han identificado datosrobados de varias de las víctimas de FIN6 que se remontan al 2014.
- Además de los datos vinculados con FIN6, la tienda ha vendido datos de millones de otras tarjetas que pudieran estar vinculadas a violaciones cometidas por otros grupos delincuenciales.
Tratamiento de robo de la tarjeta de datos
Después de que en los foros se publica el robo, gran parte de los datos de las tarjetas robadas se compran de forma rápida para su explotación.
- Este tipo de prácticas facilitan operaciones de lavado de dinero.
- Las tiendas dedicadas aesta actividad permiten a sus clientes usar una plataforma basada en web para ordenar datos de miles o millones de tarjetas de pago y comprar exactamente los tipos que requieren de acuerdo con sus capacidades de lavado de dinero.
- Sin embargo, aún no está clara la forma en la que los operadores del sitio subterráneo se vinculan a los especialistas que roban los datos de una tienda.
CONCLUSIÓNES
Para poder desarrollar inteligencia contra este tipo de delincuencia, se requiere combinar varios factores, como lograr una amplia visibilidad del panorama de amenazas, que incluye la capacidad de identificar pistas en una serie de países, industrias y organizaciones, además de una visión profunda con capacidad para recopilar información detallada acerca de cómo operan los agentes de amenaza.
En este caso, la inteligencia combinada de FireEye, Mandiant y los equipos de inteligencia de iSIGHT pudo no sólo identificar la actividad maliciosa destinada al robo de datos de tarjetas de pago, sino que también proporcionó una visión detallada acerca de las actividades que derivan en la comercialización de los datos robados.
La historia de FIN6 muestra cómo operan los actores de amenazas del mundo real, proporcionando una visión no sólo de los detalles técnicos del compromiso, sino también de las interacciones entre los diferentes grupos de delincuentes o criminales, además de las formas de trueque o venta en el metro, y la forma de utilizar herramientas tecnológicas para obtener credenciales de acceso.