fin7 - RunkIntel

# FIN7 > [!danger] Grupo Financeiro — Maior Grupo Criminoso de Carding do Mundo > **FIN7** (MITRE G0046) é um dos grupos de crime cibernético financeiro mais prolíficos da história, responsável por mais de US$1 bilhão em perdas em setores de varejo, hospitalidade e serviços financeiros. Opera via spear phishing sofisticado e campanhas de malware Carbanak/GRIFFON. ## Visão Geral O FIN7 é um grupo criminoso organizado, provavelmente de origem russo-ucraniana, especializado em ataques financeiros contra pontos de venda (PoS), sistemas bancários e operações de ransomware. Ativo desde 2013, o grupo evoluiu de ataques simples a cartões de crédito para operações complexas de ransomware com uso de afiliados e múltiplas ferramentas proprietárias. O grupo ficou conhecido por criar uma empresa de fachada chamada **Combi Security** para recrutar desenvolvedores e pentesteres sem que soubessem estar participando de operações criminosas. Entre 2013 e 2018, o FIN7 comprometeu mais de 6.500 pontos de venda em centenas de empresas nos EUA, roubando mais de 15 milhões de registros de cartões de crédito. Em 2022, o grupo foi associado a campanhas de ransomware via afiliados do grupo CLOP. Para o Brasil e a América Latina, o FIN7 representa risco específico ao setor de varejo com infraestrutura PoS e redes de franquias, além de empresas de hospitalidade com operações internacionais. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nLinkedIn / OSINT] --> B[Acesso Inicial\nSpear Phishing\nDocumento Word malicioso] B --> C[Execução\nMacro VBA\nGRIFFON JScript] C --> D[Persistência\nCarbanak backdoor\nScheduled Tasks] D --> E[Movimentação Lateral\nCredenciais roubadas\nRDP / SMB] E --> F[Impacto\nRoubo PoS\nRansomware\nExfiltração financeira] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | Documentos Word/Excel com macros maliciosas | | Execução por Usuário | [[t1204-user-execution\|T1204]] | Abertura de anexo malicioso | | PowerShell / JScript | [[t1059-command-and-scripting-interpreter\|T1059]] | GRIFFON e loaders customizados | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Movimento lateral com credenciais legítimas | | Captura de Dados PoS | [[t1056-input-capture\|T1056]] | Memory scraping em terminais PoS | ## Detecção e Defesa - Desabilitar macros em documentos Office de fontes externas - Monitorar execução de JScript e VBScript via wscript.exe/cscript.exe - Segmentar redes de sistemas PoS do ambiente corporativo - Aplicar [[m1049-antivirus-antimalware|M1049]] com heurísticas comportamentais - Monitorar [[ds0009-process|DS0009]] para processos filhos anômalos do Office ## Referências - MITRE ATT&CK: [FIN7 G0046](https://attack.mitre.org/groups/G0046/) - DOJ: FIN7 Indictments — Carbanak Criminal Network (2018) - Mandiant: FIN7 Evolution and the Phishing LNK (2022) - Microsoft MSTIC: Sangria Tempest ransomware campaigns (2023) - SentinelOne: FIN7 PowerDrop new backdoor (2023)