Il gruppo hacker FIN7 mette in vendita il suo strumento che neutralizza antivirus e sistemi di sicurezza endpoint

AvNeutralizer è un sofisticato strumento usato in alcune delle più famigerate operazioni ransomware per mettere fuori gioco i sistemi di sicurezza dei sistemi presi di mira. I loro autori ora lo vendono sui forum hacker
di Andrea Bai pubblicata il 19 Luglio 2024, alle 11:11 nel canale SicurezzaSentinelOne
Il famigerato gruppo hacker FIN7 torna al centro delle scene con la vendita di "AvNeutralizer", un sofisticato strumento progettato allo scopo di neutralizzare i sistemi di sicurezza aziendali e dei singoli endpoint.
AvNeutralizer (noto anche con il nome di AuKill) è uno strumento chiave nell'arsenale di FIN7, sviluppato e creato direttamente dal gruppo hacker. AvNeutralizer è stato associato inizialmente solo agli attacchi legati a BlackBasta, nel 2022, ma in seguito il malware è stato riconosciuto essere impiegato in almeno altre cinque operazioni ransomware, rivelando quindi una diffusione più ampia rispetto a quanto creduto in origine.
Un recente report di SentinelOne ha fatto luce sul fatto che dall'inizio del 2023 sono state rilevate numerose intrusioni in cui è stato riscontrato l'uso di varie versioni di AvNeutralizer. Circa dieci di queste sono state attribuite a attacchi ransomware gestiti manualmente, distribuendo payload noti come AvosLocker, MedusaLocker, BlackCat, Trigona e il famigerato LockBit.
La sua diffusione ha portato gli esperti di sicurezza ad effettuare indagini di approfondimento, che hanno mostrato come lo strumento venga commercializzato su forum hacker di lingua russa almeno dal 2022, con prezzi che oscillano in un'ampia forbice tra i 4000 e i 15000 dollari. Su questi forum AvNeutralizer viene promosso da individui che si celano dietro a nomi come "goodsoft", "lefroggy", "killerAV" e "Stupor" e che illustrano le capacità dello strumento nel neutralizzare una vasta gamma di software antivirus ed EDR, inclusi prodotti di noti fornitori di soluzioni di sicurezza.
🚨Exclusive research about a new version of a custom EDR Evasion Tool 🚨 👿 @LabsSentinel has discovered an updated version of AvNeutralizer (aka AuKill) that utilizes a technique previously unseen in the wild to tamper with endpoint security solutions. In our latest research by… pic.twitter.com/G9Br6DiyR7
— SentinelOne (@SentinelOne) July 17, 2024
SentinelOne ha anche identificato altri strumenti personalizzati nell'arsenale di FIN7, tra cui Powertrash, Diceloader, Core Impact e una backdoor SSH. Questi strumenti, che al momento sembrano essere ancora non commercializzati e forse mantenuti all'interno del gruppo in una sorta di protezione del vantaggio competitivo su altri gruppi hacker, testimoniano le capacità avanzate del gruppo e la sua propensione a sviluppare soluzioni su misura per le proprie operazioni.
FIN7 è un collettivo hacker russo attivo fin dal 2013 e che nel corso degli anni ha evoluto le proprie attività dalla frode finanziaria al ransomware, dimostrando una notevole capacità di adattamento nel panorama della criminalità informatica. Il collettivo è noto anche con altri nomi, come Sangria Tempest, Carbon Spider e Carbanak Group, uno stratagemma spesso usato per rendere più difficoltose le operazioni di attribuzione da parte degli specialisti di sicurezza.
Il collettivo hacker ha legami con diverse operazioni ransomware di alto profilo, tra cui le più note DarkSide e BlackMatter. Non solo: si sospetta anche un coinvolgimento con BlackCat, recentemente protagonista di una truffa ai danni di UnitedHealth, multinazionale statunitense impegnata nel campo delle assicurazioni e servizi sanitari.
La "cifra stilistica" di FIN7 è l'uso di elaborate tecniche di phishing e ingegneria sociale, come ad esempio la vicenda che l'ha visto arrivare ad impersonare BestBuy per distribuire chiavette USB infette. Un'altra impresa degna di nota, e che testimonia l'ingegnosità di FIN7, riguarda la creazione di una azienda di sicurezza fittizia, Bastion Secure (e Combi Security in precedenza), che proponendo posizioni lavorative per specialisti pentester e sviluppatori arruolava giovani ambiziosi, ignari della vera natura della società, sfruttando le loro capacità per scopi criminosi.
I dettagli tecnici del funzionamento di AvNeutralizer sono illustrati nell'analisi di SentinelOne a cura di Antonio Cocomazzi.
12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoLa parola hacker può definire anche un appassionato e studioso di un sistema meccanico,il quale ricerca e studia il sistema meccanico di un macchinario,punti deboli e punti di forza,quindi può esulare benissimo dal sistema informatico.
Quindi,gli hacker sono una cosa,i pirati informatici una altra.
Chi commette crimini informatici dovrebbero essere chiamati pirati informatici e non hacker.
La parola hacker può definire anche un appassionato e studioso di un sistema meccanico,il quale ricerca e studia il sistema meccanico di un macchinario,punti deboli e punti di forza,quindi può esulare benissimo dal sistema informatico.
Quindi,gli hacker sono una cosa,i pirati informatici una altra.
Chi commette crimini informatici dovrebbero essere chiamati pirati informatici e non hacker.
Concordo in pieno, o molto più banalmente "DELINQUENTI, LADRI, TRUFFATORI + INFORMATICI" - l'hacker, almeno nel mio immaginario, è tutta un'altra e positiva tipologia di persona.
Acchiappano meno click di hacker.
... che non centrano niente con quanto successo.
E in 11 anni ancora non li hanno beccati?
Forse sono davvero bravi
Tutti questi termini non sono appropriati per definire delle persone che Eticamente sono solo dei Malviventi e non hanno nulla di HACKER/CRACKER/PIRATI, se io blocco un ospedale con un RANSOMWARE devo finire in una CELLA CON ACIDO A PIOGGIA DAL SOFFITTO
.... PUNTO.
HACKER è un termine "Generico", un HACKER può anche risolvere problemi non solo crearli, e un CRACKER bypassa protezioni di programmi non ti CRIPTA IL DISCO e chiede un RISCATTO.
Il concetto di cracker esisteva prima dell'emergere di un suo sottotipo (crackare programmi, ecc., oggi a volte indicato da alcuni come jailbracking); oggi è all'incirca equiparato ad un black-hat.
------------
So unlike hackers, the main objective of a cracker is to penetrate, steal, ransom, or destroy. These individuals are normally motivated by financial gain. So whether they are commissioned by a competitor to steal and destroy data or are simply looking to steal credit card information, they are always up for financial gain. Other crackers simply extend their sociopathic tendencies to the virtual world and are merely motivated by publicity and satisfying their egos.
------------
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".