FireEye Inc., en conjunto con iSight Partners a través de sus especialistas en estrategias de inteligencia contra amenazas cibernéticas, realizaron una serie de investigaciones dirigidas a descubrir las actividades del grupo FIN6 dedicado al robo y extracción de datos.
Como resultado de sus operaciones de inteligencia, FireEye tiene una visibilidad extensa de las operaciones de FIN6, que incluye la intrusión inicial y la navegación en las redes de las víctimas, hasta la venta de datos extraídos de tarjetas bancarias mediante operaciones en mercados ilegales.
A partir de su trabajo, FireEye e iSight conformaron un informe del cual se presentan a continuación algunos de sus puntos relevantes:
El término FIN se refiere a grupos delincuenciales especializados en delitos cibernéticos financieros. FIN6 es un grupo criminal cibernético especializado en el robo de datos de tarjetas bancarias, obtenidos a partir de terminales punto de venta, para generar ingresos.
Entre los sectores más atacados por el grupo destacan el de la hotelería y el de ventas del sector minorista. Los datos obtenidos se vendieron en un mercado ilegal difícilmente detectable.
FIN6 utilizó una amplia gama de herramientas y tácticas durante sus intrusiones en las redes informáticas de las víctimas. Este tipo de grupos emplean un alto nivel de planificación, organización y gestión de procesos y tareas para lograr sus objetivos.
Sus beneficios económicos los obtienen a partir de la venta de los datos robados (tanto de tarjetas bancarias como de identificación personal), la transferencia no autorizada de fondos (a través de números de cuentas bancarias robadas); o uso de información privilegiada.
No está del todo claro cómo afecta a sus víctimas el grupo FIN6. Mandiant encontró que FIN6 ya poseía credenciales válidas para cada red afectada y llevar a cabo sus actividades intrusivas.
En un caso se encontraron rastros de un malware denominado GRABNEW en el servidor de la víctima.
Al parecer, FIN 6 compró las credenciales de acceso para iniciar sus operaciones.
El uso del malware GRABNEW por parte de FIN6 le ha permitido abrir más puertas de acceso en los sistemas comprometidos. Después de localizar sistemas de punto de venta dentro del entorno elegido, el grupo delincuencial extendió otro malware POS (Point of Sale) que se denomina Trinidad.
FIN 6 también utiliza herramientas configuradas para conectarse a distancia y descargar y ejecutar shellcodes. En otro caso particular, FIN6 comprometido y desplegó un malware denominado TRINIDAD en alrededor de dos mil sistemas, lo que resultó en millones de tarjetas bancarias vulneradas.
Gracias a sus servicios de inteligencia, iSIGHT Partners descubrió que los datos de tarjetas de pago robados a partir de esas intrusiones fueron vendidos en una tienda de tarjetas de metro (no se especifica el país). Esa tienda se publicita en varios foros de delincuencia cibernética subterránea y ofrece acceso a millones de tarjetas de pago robadas.
Se han identificado datos robados de varias de las víctimas de FIN6 que se remontan al 2014. Además de los datos vinculados con FIN6, la tienda ha vendido datos de millones de otras tarjetas que pudieran estar vinculadas a violaciones cometidas por otros grupos delincuenciales.
Después de que en los foros se publica el robo, gran parte de los datos de las tarjetas robadas se compran de forma rápida para su explotación. Este tipo de prácticas facilitan operaciones de lavado de dinero.
Las tiendas dedicadas a esta actividad permiten a sus clientes usar una plataforma basada en web para ordenar datos de miles o millones de tarjetas de pago y comprar exactamente los tipos que requieren de acuerdo con sus capacidades de lavado de dinero. Sin embargo, aún no está clara la forma en la que los operadores del sitio subterráneo se vinculan a los especialistas que roban los datos de una tienda.
