g0085-fin4 - RunkIntel

# FIN4 > [!high] Insider Trading Cibernético - Pioneiro do Crime Financeiro via E-mail > O **FIN4** é um grupo de ameaça com motivação financeira que criou uma categoria própria de crime cibernético: **insider trading cibernético sistematizado**. Ativo de meados de 2013 até 2014, o grupo comprometeu e-mails de executivos sênior, advogados e pesquisadores em mais de 100 empresas públicas - quase todas no setor de saúde e farmacêutico - para obter informações não públicas sobre aprovações de medicamentos, resultados de ensaios clínicos e fusões e aquisições antes da divulgação ao mercado. Excepcional por não usar malware persistente convencional, o FIN4 dependia exclusivamente de roubo de credenciais e acesso legítimo - tornando-se práticamente invisível a defesas tradicionais. ## Visão Geral O FIN4 foi identificado e nomeado pela Mandiant/FireEye em dezembro de 2014 e representa uma inovação no modelo de ameaça financeira cibernética. Enquanto a maioria dos grupos financeiramente motivados busca dados de cartão de crédito, transferências bancárias ou ransomware, o FIN4 identificou um vetor completamente diferente: informações não públicas que movem preços de ações. A estratégia é elegantemente simples. Empresas farmacêuticas e de biotecnologia públicam, regularmente, resultados de ensaios clínicos, decisões regulatórias da FDA e aquisições que podem mover os preços de suas ações em 30-80% em um dia. Com acesso antecipado a essas informações via e-mail corporativo, um ator sofisticado poderia realizar trades altamente lucrativos - e legalmente difíceis de rastrear se realizados via proxies ou exchanges internacionais. **O que torna o FIN4 único:** - **Zero malware persistente**: o grupo nunca instalou backdoors ou RATs tradicionais - acesso via credenciais roubadas apenas - **Lures extremamente convincentes**: e-mails de phishing redigidos em inglês impecável com profundo conhecimento de processos corporativos e preocupações de investidores - **Inserção em threads reais**: e-mails enviados a partir de contas comprometidas de outras vítimas, inseridos em conversas legítimas em andamento - **Email hiding rules**: após comprometer uma conta, o grupo criava regras no Outlook para excluir automaticamente e-mails contendo palavras como "hacked", "phish" e "malware" - prevenindo que a organização descobrisse o comprometimento - **Tor para acesso**: login nas contas comprometidas via Tor para mascarar localização geográfica O perfil de alvo era preciso: 68% das organizações alvo eram empresas de saúde e farmacêuticas públicas, 20% eram firmas de consultoria financeira, jurídica ou de M&A que prestavam serviços a empresas públicas. Todos os alvos conhecidos eram listados na NYSE ou Nasdaq. A FireEye expressou suspeita de que os operadores do FIN4 eram americanos ou europeus com profundo conhecimento do funcionamento de Wall Street e processos corporativos - uma hipótese suportada pela sofisticação das lures, vocabulário financeiro preciso e seleção cirúrgica de alvos dentro das organizações comprometidas. ## Como o FIN4 Operava ### Seleção de Alvos O FIN4 não atacava empresas aleatoriamente. A seleção demonstrava conhecimento específico de quais organizações possuíam informações capazes de mover o mercado: - Empresas farmacêuticas com ensaios clínicos em fase final (onde resultados afetam drasticamente o preço da ação) - Empresas de biotecnologia aguardando aprovações da FDA - Empresas envolvidas em negociações de M&A não anunciadas - Firmas de investimento bancário e advocacias que assessoravam nestas transações ### Comprometimento via Phishing O vetor de ataque era spear-phishing altamente personalizado. Os e-mails: - Eram enviados de contas comprometidas de outras vítimas (tornando-os aparentemente legítimos) - Eram inseridos em threads de e-mail reais já em andamento (aumentando a credibilidade) - Continham macros VBA que exibiam páginas falsas do Outlook Web App para coletar credenciais - Usavam lures temáticas de investidor (regulatório, segurança corporativa, compliance) ### Acesso e Coleta Com credenciais roubadas, o FIN4 acessava diretamente caixas de e-mail via OWA (Outlook Web App) - usando Tor para mascarar origem. O grupo então criava regras de ocultação de e-mail ([[t1564-008-email-hiding-rules|T1564.008]]) para impedir alertas de segurança, e coletava e-mails de alto valor de executivos C-suite, advogados e pesquisadores com acesso a informações não públicas. ## Attack Flow ```mermaid graph TB A["Seleção de Alvo Empresa pharma/M&A Calendário de anúncios"] --> B["Spear-phishing Cirúrgico Thread hijacking T1566.001 + T1566.002"] B --> C["Macro VBA Página OWA falsa T1056.002 - captura credencial"] C --> D["Acesso via Tor T1090.003 multi-hop Login OWA com creds roubadas"] D --> E["Email Hiding Rules T1564.008 - exclui alertas Palavras: hacked, phish"] E --> F["Coleta Seletiva T1114.002 - email remoto M&A, ensaios, regulatório"] F --> G["Uso da Informação Trade antes do anúncio Insider trading via proxies"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff style G fill:#145a32,color:#fff ``` ## Linha do Tempo ```mermaid timeline title FIN4 - Atividade Documentada 2013-Q2 : Início das operações documentadas : Primeiras violações em saúde/pharma EUA 2013-Q4 : Volume aumenta significativamente : 100+ empresas alvo identificadas 2014-Q3 : FireEye detecta e investiga atividade : Padrão de email hiding rules documentado 2014-Q4 : FireEye publica relatório em dezembro 2014 : Grupo cessa operações após exposição pública 2015 : Sem atividade confirmada : FireEye publica análise complementar em junho ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links para páginas OWA falsas em e-mails de contas comprometidas | | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos com macros VBA para captura de credenciais | | Execution | Visual Basic | [[t1059-005-visual-basic\|T1059.005]] | Macros VBA exibem diálogos falsos de login | | Credential Access | GUI Input Capture | [[t1056-002-gui-input-capture\|T1056.002]] | Janelas Windows Authentication falsas para coletar credenciais | | Credential Access | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Keylogger .NET em algumas campanhas | | Persistence | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Acesso contínuo via credenciais legítimas roubadas | | Defense Evasion | Email Hiding Rules | [[t1564-008-email-hiding-rules\|T1564.008]] | Regras Outlook para deletar alertas de segurança | | Collection | Remote Email Collection | [[t1114-002-remote-email-collection\|T1114.002]] | Acesso OWA para coleta de e-mails executivos | | C2 | Multi-hop Proxy | [[t1090-003-multi-hop-proxy\|T1090.003]] | Tor para mascarar IP real durante acesso às contas | ## Relevância para o Brasil e LATAM > [!medium] Risco para Empresas Listadas e Setor Farmacêutico > Embora o FIN4 tenha encerrado operações após exposição em 2014, o **modelo operacional** que criou - insider trading cibernético via roubo de credenciais de e-mail - representa uma categoria de ameaça replicável por outros atores com conhecimento de mercados financeiros específicos. O padrão FIN4 é relevante para o Brasil em dois contextos: 1. **Empresas listadas na B3 com anúncios sensíveis**: empresas farmacêuticas, de biotecnologia e agronegócio brasileiras com anúncios de ensaios clínicos, aprovações regulatórias da ANVISA ou negociações de M&A possuem exatamente o perfil de alvo histórico do FIN4. A B3 hospeda diversas empresas farmacêuticas e de biotecnologia com capitalizações significativas 2. **Firmas de assessoria**: escritórios de advocacia, consultorias de M&A e bancos de investimento brasileiros que assessoram transações de capital aberto são alvo secundário no modelo FIN4 - tanto como alvos diretos quanto como vetores de comprometimento de clientes finais **Lições defensivas do modelo FIN4:** - Monitoramento de regras de e-mail criadas automaticamente é crítico - o sinal mais confiável de comprometimento FIN4 - MFA em OWA e sistemas de e-mail corporativo elimina o vetor primário - Análise comportamental de login (hora, localização, frequência) detecta uso anômalo de credenciais válidas ## Detecção e Defesa | Indicador | Técnica | Ação | |-----------|---------|------| | Novas regras Outlook com palavras "hacked/phish/malware" | T1564.008 | Alertar sobre criação de regras de e-mail com termos de segurança | | Login OWA de IP Tor ou proxy anômalo | T1090.003 | Bloqueio de Tor + geofencing + alertas de localização anômala | | Macro VBA em documento de thread de e-mail existente | T1059.005 | Sandbox de e-mail + análise de macro + desabilitar macros por padrão | | Janela de autenticação Windows gerada por processo Office | T1056.002 | Monitorar processos office.exe gerando janelas de autenticação | | Acesso OWA fora do horário comercial ou padrão incomum | T1078 | SIEM - alertar sobre acesso a e-mail em horários anômalos | | Volume anormal de e-mails lidos ou exportados | T1114.002 | DLP - alertar em volume de acesso a e-mail acima do baseline | **Mitigações prioritárias:** MFA obrigatório em OWA ([[m1032-multi-factor-authentication|M1032]]), treinamento anti-phishing ([[m1017-user-training|M1017]]), desabilitar macros por padrão ([[m1040-behavior-prevention-on-endpoint|M1040]]). ## Referências - [1](https://attack.mitre.org/groups/G0085/) MITRE ATT&CK - FIN4 (G0085) - [2](https://www.mandiant.com/resources/blog/fin4-stealing-insider-information) Mandiant/FireEye - FIN4: Stealing Insider Information for an Advantage in Stock Trading (2014) - [3](https://www.computerworld.com/article/1484745/fireeye-suspects-fin4-hackers-are-americans-after-insider-info-to-game-stock-market.html) Computerworld - FireEye suspects FIN4 hackers are Américans (2014) - [4](https://malpedia.caad.fkie.fraunhofer.de/actor/wolf_spider) Malpedia - Wolf Spider (FIN4) Actor Profile - [5](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=FIN4%2C+Wolf+Spider) ETDA Threat Group Cards - FIN4 Wolf Spider (2025) **TTPs:** [[t1566-002-spearphishing-link|T1566.002]] · [[t1564-008-email-hiding-rules|T1564.008]] · [[t1114-002-remote-email-collection|T1114.002]] · [[t1078-valid-accounts|T1078]] · [[t1090-003-multi-hop-proxy|T1090.003]] **Setores:** [[financial|Financeiro]] · [[healthcare|Saúde]] · [[pharmaceutical|Farmacêutico]] · [[legal|Jurídico]] **Relacionados:** [[g0046-fin7|FIN7]] · [[g0082-apt38|APT38/BlueNoroff]]