Il gruppo hacker FIN7 mette in vendita il suo strumento che neutralizza antivirus e sistemi di sicurezza endpoint

Il famigerato gruppo hacker FIN7 torna al centro delle scene con la vendita di "AvNeutralizer", un sofisticato strumento progettato allo scopo di neutralizzare i sistemi di sicurezza aziendali e dei singoli endpoint.

AvNeutralizer (noto anche con il nome di AuKill) è uno strumento chiave nell'arsenale di FIN7, sviluppato e creato direttamente dal gruppo hacker. AvNeutralizer è stato associato inizialmente solo agli attacchi legati a BlackBasta, nel 2022, ma in seguito il malware è stato riconosciuto essere impiegato in almeno altre cinque operazioni ransomware, rivelando quindi una diffusione più ampia rispetto a quanto creduto in origine.

Un recente report di SentinelOne ha fatto luce sul fatto che dall'inizio del 2023 sono state rilevate numerose intrusioni in cui è stato riscontrato l'uso di varie versioni di AvNeutralizer. Circa dieci di queste sono state attribuite a attacchi ransomware gestiti manualmente, distribuendo payload noti come AvosLocker, MedusaLocker, BlackCat, Trigona e  il famigerato LockBit.

La sua diffusione ha portato gli esperti di sicurezza ad effettuare indagini di approfondimento, che hanno mostrato come lo strumento venga commercializzato su forum hacker di lingua russa almeno dal 2022, con prezzi che oscillano in un'ampia forbice tra i 4000 e i 15000 dollari. Su questi forum AvNeutralizer viene promosso da individui che si celano dietro a nomi come "goodsoft", "lefroggy", "killerAV" e "Stupor" e che illustrano le capacità dello strumento nel neutralizzare una vasta gamma di software antivirus ed EDR, inclusi prodotti di noti fornitori di soluzioni di sicurezza.

SentinelOne ha anche identificato altri strumenti personalizzati nell'arsenale di FIN7, tra cui Powertrash, Diceloader, Core Impact e una backdoor SSH. Questi strumenti, che al momento sembrano essere ancora non commercializzati e forse mantenuti all'interno del gruppo in una sorta di protezione del vantaggio competitivo su altri gruppi hacker, testimoniano le capacità avanzate del gruppo e la sua propensione a sviluppare soluzioni su misura per le proprie operazioni.

FIN7 è un collettivo hacker russo attivo fin dal 2013 e che nel corso degli anni ha evoluto le proprie attività dalla frode finanziaria al ransomware, dimostrando una notevole capacità di adattamento nel panorama della criminalità informatica. Il collettivo è noto anche con altri nomi, come Sangria Tempest, Carbon Spider e Carbanak Group, uno stratagemma spesso usato per rendere più difficoltose le operazioni di attribuzione da parte degli specialisti di sicurezza.

Il collettivo hacker ha legami con diverse operazioni ransomware di alto profilo, tra cui le più note DarkSide e BlackMatter. Non solo: si sospetta anche un coinvolgimento con BlackCat, recentemente protagonista di una truffa ai danni di UnitedHealth, multinazionale statunitense impegnata nel campo delle assicurazioni e servizi sanitari.

La "cifra stilistica" di FIN7 è l'uso di elaborate tecniche di phishing e ingegneria sociale, come ad esempio la vicenda che l'ha visto arrivare ad impersonare BestBuy per distribuire chiavette USB infette. Un'altra impresa degna di nota, e che testimonia l'ingegnosità di FIN7, riguarda la creazione di una azienda di sicurezza fittizia, Bastion Secure (e Combi Security in precedenza), che proponendo posizioni lavorative per specialisti pentester e sviluppatori arruolava giovani ambiziosi, ignari della vera natura della società, sfruttando le loro capacità per scopi criminosi.

I dettagli tecnici del funzionamento di AvNeutralizer sono illustrati nell'analisi di SentinelOne a cura di Antonio Cocomazzi.