g0046-fin7 - RunkIntel

# FIN7 > [!warning] Resumo Executivo > Grupo criminoso com motivacao financeira ativo desde pelo menos 2012, com origem russo-ucraniana. Evoluiu de fraude em pontos de venda (PoS) para operações de ransomware big game hunting, incluindo [[s0496-revil|REvil]], [[darkside|DarkSide]], [[blackmatter|BlackMatter]] e [[blackbasta|Black Basta]]. Em 2024, revelou-se vendendo sua ferramenta **AvNeutralizer** (aka AuKill) para desabilitar EDR por US$ 4.000 a US$ 15.000 em forums clandestinos - adotada por pelo menos 6 grupos ransomware diferentes. Tres membros ucranianos sentenciados nos EUA; grupo continua operacional. ## Visão Geral **FIN7** (rastreado como **Sangria Tempest** pela Microsoft e **Carbon Spider** pela CrowdStrike) e um dos grupos criminosos ciberneticos mais sofisticados e persistentes em operação desde pelo menos 2012. O grupo tem origem russo-ucraniana e e categorizado como grupo de e-crime financeiramente motivado. O grupo passou por tres fases distintas: 1. **2012-2019 - Fraude PoS**: Especializacao em roubo de dados de cartao de credito em escala via malware de ponto de venda ([[s0517-pillowmint|Pillowmint]]). Utilizava empresas de fachada (**Combi Security** e **Bastion Secure**) para recrutar desenvolvedores e pentesters sem que soubessem trabalhar para criminosos. 2. **2020-2022 - Big Game Hunting**: Transicao para ransomware de alta receita ([[s0496-revil|REvil]], [[darkside|DarkSide]], [[blackmatter|BlackMatter]]). Primeiras conexoes com [[blackbasta|Black Basta]]. 3. **2022-presente - Plataforma e MaaS**: Desenvolvimento e venda de ferramentas especializadas - especialmente o **AvNeutralizer/AuKill** - em forums clandestinos russos. Uso de múltiplos pseudonimos ("goodsoft", "lefroggy", "killerAV", "Stupor") para obscurecer identidade. SQL injection automatizado em servidores públicos. Tres membros ucranianos foram sentenciados nos EUA (Fedir Hladyr, Andrii Kolpakov, Denys Iarmak), mas o grupo demonstrou alta resiliencia, continuando operações com TTPs adaptados. ## Timeline de Evolução ```mermaid timeline title FIN7 - Evolução e Operacoes 2012-2013 : Primeiras operacoes : Foco em fraude PoS : Setor de restaurantes EUA 2015-2019 : Maturidade operacional : Carbanak como C2 primario : Combi Security empresa de fachada : Dados de cartao em escala massiva 2020 : Transicao para BGH : REvil e DarkSide como parceiros : Bastion Secure empresa de fachada 2021-2022 : DICELOADER substitui Carbanak : Parceria Black Basta : AvNeutralizer v1 (uso exclusivo) 2022-2023 : Tres membros sentenciados EUA : AvNeutralizer vendido em forums : Adocao por 6+ grupos ransomware 2024 : USB malicioso + campanha automotiva : Malvertising NetSupport RAT : SQL injection automatizado : Infraestrutura via Stark Industries 2025-2026 : Operacoes continuam : Multiplos pseudonimos underground : Arsenal expandido com Core Impact ``` ## Attack Flow Operacional - Fase PoS e Big Game Hunting ```mermaid graph TB A["🎯 Spearphishing T1566.002 Link malicioso Funcionarios financeiros/TI"] --> B["💥 Execução Payload GRIFFON / Carbanak T1059 / T1620 Reflective"] B --> C["🔐 Persistência T1053.005 Scheduled Task OpenSSH backdoor"] C --> D["🔍 Reconhecimento T1033 System Owner AdFind + Network scan"] D --> E["💳 Fase 1 - PoS Fraud Pillowmint stealer Dados de cartao de credito"] E --> F["🎯 Fase 2 - BGH T1486 REvil/DarkSide Big Game Hunting"] F --> G["🛠️ MaaS Underground AvNeutralizer vendido US$ 4K-15K por grupo"] style A fill:#7b241c,color:#fff style B fill:#922b21,color:#fff style C fill:#a93226,color:#fff style D fill:#e67e22,color:#fff style E fill:#1a5276,color:#fff style F fill:#6c3483,color:#fff style G fill:#117a65,color:#fff ``` ## Arsenal Tecnico | Ferramenta | Categoria | Notas | |-----------|-----------|-------| | [[avneutralizer\|AvNeutralizer (AuKill)]] | EDR Killer | Vende por US$ 4K-15K; usado por 6+ grupos ransomware; explora drivers vulneraveis | | [[diceloader\|DICELOADER (Lizar/IceBot)]] | C2 Backdoor | Substituiu Carbanak em 2021; minimalista e dificil de detectar | | [[powertrash\|POWERTRASH]] | Loader | PowerShell ofuscado para carregamento reflective na memoria | | [[g0008-carbanak\|Carbanak (Anunak)]] | C2 Framework | Framework C2 original; usado por múltiplos grupos | | [[s0417-griffon\|GRIFFON]] | Backdoor leve | Stager inicial para execução de payload remoto | | [[s0151-halfbaked\|HALFBAKED]] | Backdoor | Acesso inicial e persistência | | [[s0517-pillowmint\|Pillowmint]] | PoS Stealer | Captura dados de cartao de memoria de processo PoS | | Core Impact | Pentest Tool | Ferramenta comercial reproposta para operações maliciosas | | [[mimikatz\|Mimikatz]] | Credenciais | Dump de hashes e tickets Kerberos | | [[s0552-adfind\|AdFind]] | Reconhecimento | Enumeracao de Active Directory | | OpenSSH | Backdoor | Persistence via SSH; observado em staging de payloads | | [[s0496-revil\|REvil]] / [[darkside\|DarkSide]] | Ransomware | Parceiros RaaS em fase BGH | ## TTPs Detalhados ### Acesso Inicial - **Spearphishing com links maliciosos**: Emails direcionados a funcionarios financeiros e de TI com links para ferramentas falsas ([[t1566-002-spearphishing-link|T1566.002]]) - **USB malicioso**: Mala postal de USBs infectados que emulam teclado para executar PowerShell ([[t1091-replication-through-removable-media|T1091]]) - **Malvertising**: Google Ads para ferramentas falsas como Advanced IP Scanner levando ao POWERTRASH - **SQL injection automatizado**: Exploração automatizada de servidores públicamente expostos ([[t1190-exploit-public-facing-application|T1190]]) - **Supply chain**: Comprometimento de sites de software legitimo com trojans ([[t1195-002-supply-chain-compromise|T1195.002]]) ### Evasão de Defesas - **Code signing**: Payloads Carbanak assinados com certificados comprados legalmente ([[t1553-002-code-signing|T1553.002]]) - **AvNeutralizer**: Mata processos de EDR via drivers vulneraveis do Windows; versoes abusam do driver Process Explorer e ProcLaunchMon.sys - **POWERTRASH**: Carregamento reflective na memoria evita artifacts em disco ([[t1620-reflective-code-loading|T1620]]) - **Junk code insertion**: Ofuscacao para evitar detecção por assinatura ([[t1027-016-junk-code-insertion|T1027.016]]) - **Jánelas ocultas**: Execução de payloads sem jánela visivel ([[t1564-003-hidden-window|T1564.003]]) ### Movimentação Lateral - SSH ([[t1021-004-ssh|T1021.004]]) e TightVNC ([[t1021-005-vnc|T1021.005]]) para movimento silencioso na rede - Mascaramento de tarefas agendadas ("AdobeFlashSync") ([[t1036-004-masquerade-task-or-service|T1036.004]]) - WMI para execução remota ([[t1047-windows-management-instrumentation|T1047]]) ### Operacoes Underground (2022-presente) - Venda de AvNeutralizer em forums russos por US$ 4.000 a US$ 15.000 - Multiplos pseudonimos: "goodsoft", "lefroggy", "killerAV", "Stupor" - Infraestrutura de C2 via **Stark Industries** (bulletproof hosting europeu) - Atividade confirmada em RAMP, XSS e outros forums russos ## Campanhas Recentes (2024) | Campanha | Vetor | Payload | Alvo | |----------|-------|---------|------| | US Automotive Industry | Spearphishing com link "Advanced IP Scanner" | Carbanak (Anunak) + POWERTRASH | Funcionarios de TI com admin rights | | AvNeutralizer Marketplace | Venda em forums underground | AvNeutralizer atualizado com ProcLaunchMon.sys | 6+ grupos ransomware compradores | | Malvertising NetSupport | Google Ads para ferramentas falsas | NetSupport RAT | Alvos corporativos (maio 2024) | > [!note] Aliases e Rastreamento > FIN7 e rastreado sob múltiplos nomes. Ver perfil expandido em [[g0046-fin7|Carbon Spider]] que cobre a linhagem completa DarkSide - BlackMatter - ALPHV/BlackCat. Ver também [[gold-blazer|Gold Blazer]] para o perfil específico da operação ALPHV/BlackCat. ## Relevância para o Brasil e LATAM > [!warning] Ameaça de Alto Impacto para Setor Financeiro e Varejo > FIN7 representa ameaça **direta e significativa** ao Brasil e América Latina. O historico de ataques contra varejo, hotelaria, restaurantes, bancos, servicos financeiros e equipamentos medicos - setores altamente presentes na regiao. Para organizacoes brasileiras, os principais vetores de risco sao: 1. **Modelo MaaS** - AvNeutralizer vendido a afiliados pode ser usado em ataques contra empresas brasileiras por qualquer comprador 2. **Big Game Hunting** - Empresas com receita acima de US$ 100M no Brasil sao alvos potenciais para ransomware 3. **USB malicioso** - Campanha de mala postal pode ter variante para mercado LATAM 4. **Setor financeiro** - Historico robusto contra bancos e fintechs, setores em expansao no Brasil A comercializacao do AvNeutralizer e uma das mudanças mais significativas no ecossistema - significa que TTPs de evasão de EDR do FIN7 agora estao disponiveis para qualquer grupo ransomware operando no Brasil. ## Detecção | IoC/Comportamento | Técnica | |-------------------|---------| | Tarefa agendada "AdobeFlashSync" | T1036.004 | | OpenSSH instalado + 7zip presente | Backdoor SSH-based | | Drivers vulneraveis (Process Explorer, ProcLaunchMon.sys) | AvNeutralizer BYOVD | | TightVNC instalado em servidores | T1021.005 | | Conexoes a Stark Industries hosting | Infraestrutura C2 | | Staged payloads em buckets S3 públicos | T1608.001 | | WsTaskLoad.exe + POWERTRASH | Loader chain campanha automotiva | ## Referências - [1](https://attack.mitre.org/groups/G0046/) MITRE ATT&CK - FIN7 (G0046) - [2](https://www.sentinelone.com/labs/fin7-reboot-cybercrime-gang-enhances-ops-with-new-edr-bypasses-and-automated-attacks/) SentinelOne - FIN7 Reboot: AvNeutralizer e Operacoes 2024 - [3](https://www.bleepingcomputer.com/news/security/notorious-fin7-hackers-sell-edr-killer-to-other-threat-actors/) BleepingComputer - FIN7 Vende AvNeutralizer no Dark Web - [4](https://thehackernews.com/2024/04/fin7-cybercrime-group-targeting-us-auto.html) The Hacker News - FIN7 Campanha Setor Automotivo 2024 - [5](https://thecyberexpress.com/fin7-gang-elude-edr-and-automaté-attacks/) The Cyber Express - FIN7 Vende Ferramenta EDR Bypass - [6](https://www.rewterz.com/threat-advisory/fin7-apt-sells-tool-for-security-bypass-on-dark-web-forums-active-iocs) Rewterz - FIN7 APT IoCs e Advisory