Il gruppo hacker FIN7 mette in vendita il suo strumento che neutralizza antivirus e sistemi di sicurezza endpoint

Il gruppo hacker FIN7 mette in vendita il suo strumento che neutralizza antivirus e sistemi di sicurezza endpoint

AvNeutralizer è un sofisticato strumento usato in alcune delle più famigerate operazioni ransomware per mettere fuori gioco i sistemi di sicurezza dei sistemi presi di mira. I loro autori ora lo vendono sui forum hacker

di pubblicata il , alle 11:11 nel canale Sicurezza
SentinelOne
 

Il famigerato gruppo hacker FIN7 torna al centro delle scene con la vendita di "AvNeutralizer", un sofisticato strumento progettato allo scopo di neutralizzare i sistemi di sicurezza aziendali e dei singoli endpoint.

AvNeutralizer (noto anche con il nome di AuKill) è uno strumento chiave nell'arsenale di FIN7, sviluppato e creato direttamente dal gruppo hacker. AvNeutralizer è stato associato inizialmente solo agli attacchi legati a BlackBasta, nel 2022, ma in seguito il malware è stato riconosciuto essere impiegato in almeno altre cinque operazioni ransomware, rivelando quindi una diffusione più ampia rispetto a quanto creduto in origine.

Un recente report di SentinelOne ha fatto luce sul fatto che dall'inizio del 2023 sono state rilevate numerose intrusioni in cui è stato riscontrato l'uso di varie versioni di AvNeutralizer. Circa dieci di queste sono state attribuite a attacchi ransomware gestiti manualmente, distribuendo payload noti come AvosLocker, MedusaLocker, BlackCat, Trigona e  il famigerato LockBit.

La sua diffusione ha portato gli esperti di sicurezza ad effettuare indagini di approfondimento, che hanno mostrato come lo strumento venga commercializzato su forum hacker di lingua russa almeno dal 2022, con prezzi che oscillano in un'ampia forbice tra i 4000 e i 15000 dollari. Su questi forum AvNeutralizer viene promosso da individui che si celano dietro a nomi come "goodsoft", "lefroggy", "killerAV" e "Stupor" e che illustrano le capacità dello strumento nel neutralizzare una vasta gamma di software antivirus ed EDR, inclusi prodotti di noti fornitori di soluzioni di sicurezza.

SentinelOne ha anche identificato altri strumenti personalizzati nell'arsenale di FIN7, tra cui Powertrash, Diceloader, Core Impact e una backdoor SSH. Questi strumenti, che al momento sembrano essere ancora non commercializzati e forse mantenuti all'interno del gruppo in una sorta di protezione del vantaggio competitivo su altri gruppi hacker, testimoniano le capacità avanzate del gruppo e la sua propensione a sviluppare soluzioni su misura per le proprie operazioni.

FIN7 è un collettivo hacker russo attivo fin dal 2013 e che nel corso degli anni ha evoluto le proprie attività dalla frode finanziaria al ransomware, dimostrando una notevole capacità di adattamento nel panorama della criminalità informatica. Il collettivo è noto anche con altri nomi, come Sangria Tempest, Carbon Spider e Carbanak Group, uno stratagemma spesso usato per rendere più difficoltose le operazioni di attribuzione da parte degli specialisti di sicurezza.

Il collettivo hacker ha legami con diverse operazioni ransomware di alto profilo, tra cui le più note DarkSide e BlackMatter. Non solo: si sospetta anche un coinvolgimento con BlackCat, recentemente protagonista di una truffa ai danni di UnitedHealth, multinazionale statunitense impegnata nel campo delle assicurazioni e servizi sanitari.

La "cifra stilistica" di FIN7 è l'uso di elaborate tecniche di phishing e ingegneria sociale, come ad esempio la vicenda che l'ha visto arrivare ad impersonare BestBuy per distribuire chiavette USB infette. Un'altra impresa degna di nota, e che testimonia l'ingegnosità di FIN7, riguarda la creazione di una azienda di sicurezza fittizia, Bastion Secure (e Combi Security in precedenza), che proponendo posizioni lavorative per specialisti pentester e sviluppatori arruolava giovani ambiziosi, ignari della vera natura della società, sfruttando le loro capacità per scopi criminosi.

I dettagli tecnici del funzionamento di AvNeutralizer sono illustrati nell'analisi di SentinelOne a cura di Antonio Cocomazzi.

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
supertigrotto19 Luglio 2024, 12:25 #1
@Andrea Bai mi sa che se vogliamo educare la massa,dovremmo evitare di mettere genericamente la parola hacker associata alla pirateria informatica.
La parola hacker può definire anche un appassionato e studioso di un sistema meccanico,il quale ricerca e studia il sistema meccanico di un macchinario,punti deboli e punti di forza,quindi può esulare benissimo dal sistema informatico.
Quindi,gli hacker sono una cosa,i pirati informatici una altra.
Chi commette crimini informatici dovrebbero essere chiamati pirati informatici e non hacker.
Saturn19 Luglio 2024, 12:27 #2
Originariamente inviato da: supertigrotto
@Andrea Bai mi sa che se vogliamo educare la massa,dovremmo evitare di mettere genericamente la parola hacker associata alla pirateria informatica.
La parola hacker può definire anche un appassionato e studioso di un sistema meccanico,il quale ricerca e studia il sistema meccanico di un macchinario,punti deboli e punti di forza,quindi può esulare benissimo dal sistema informatico.
Quindi,gli hacker sono una cosa,i pirati informatici una altra.
Chi commette crimini informatici dovrebbero essere chiamati pirati informatici e non hacker.


Concordo in pieno, o molto più banalmente "DELINQUENTI, LADRI, TRUFFATORI + INFORMATICI" - l'hacker, almeno nel mio immaginario, è tutta un'altra e positiva tipologia di persona.
JoJo19 Luglio 2024, 13:23 #3
Esiste un termine esatto: "CRACKER".
WarSide19 Luglio 2024, 14:14 #4
Originariamente inviato da: Saturn
Concordo in pieno, o molto più banalmente "DELINQUENTI, LADRI, TRUFFATORI + INFORMATICI" - l'hacker, almeno nel mio immaginario, è tutta un'altra e positiva tipologia di persona.


Acchiappano meno click di hacker.

Originariamente inviato da: JoJo
Esiste un termine esatto: "CRACKER".


... che non centrano niente con quanto successo.
UtenteHD19 Luglio 2024, 14:50 #5
Concordo con tutti che chiedono di usare le terminologie corrette e concordo anche sul fatto che dovremmo smettere di dare dell'Hacker a tutti, persino ai Lamer, ecc..
Unrue19 Luglio 2024, 15:01 #6
FIN7 è un collettivo hacker russo attivo fin dal 2013


E in 11 anni ancora non li hanno beccati? Ah già russo, come non detto...
aqua8419 Luglio 2024, 15:06 #7
Originariamente inviato da: Unrue
E in 11 anni ancora non li hanno beccati? Ah già russo, come non detto...


Forse sono davvero bravi
Gringo [ITF]19 Luglio 2024, 19:01 #8
"dovrebbero essere chiamati pirati informatici e non hacker."


Tutti questi termini non sono appropriati per definire delle persone che Eticamente sono solo dei Malviventi e non hanno nulla di HACKER/CRACKER/PIRATI, se io blocco un ospedale con un RANSOMWARE devo finire in una CELLA CON ACIDO A PIOGGIA DAL SOFFITTO
.... PUNTO.

HACKER è un termine "Generico", un HACKER può anche risolvere problemi non solo crearli, e un CRACKER bypassa protezioni di programmi non ti CRIPTA IL DISCO e chiede un RISCATTO.
Nui_Mg19 Luglio 2024, 19:35 #9
Originariamente inviato da: Gringo [ITF]
un CRACKER bypassa protezioni di programmi non ti CRIPTA IL DISCO e chiede un RISCATTO.

Il concetto di cracker esisteva prima dell'emergere di un suo sottotipo (crackare programmi, ecc., oggi a volte indicato da alcuni come jailbracking); oggi è all'incirca equiparato ad un black-hat.
------------
So unlike hackers, the main objective of a cracker is to penetrate, steal, ransom, or destroy. These individuals are normally motivated by financial gain. So whether they are commissioned by a competitor to steal and destroy data or are simply looking to steal credit card information, they are always up for financial gain. Other crackers simply extend their sociopathic tendencies to the virtual world and are merely motivated by publicity and satisfying their egos.
------------
gnappoman20 Luglio 2024, 10:42 #10
io me li mangio i crackers

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^