# FIN13 > [!danger] Elephant Beetle - Roubo Financeiro Paciente em LATAM > FIN13 e **o único grupo APT financeiramente motivado com foco documentado exclusivo em LATAM** (Mexico e América Latina desde 2016). O grupo rouba **US$15-20 milhões por operação** através de transações fraudulentas imperceptiveis - nao usa ransomware, nao grita, so rouba em silencio por meses. Especialidade: sistemas legados Java em Linux, ATM networks e POS systems de bancos e varejistas. ## Visão Geral FIN13 (Elephant Beetle, TG2003) e um grupo de ameaça cibernética com motivacao financeira que opera exclusivamente contra alvos do setor financeiro, varejista e de hospitalidade no Mexico e América Latina desde pelo menos 2016. O grupo se distingue radicalmente de outros atores criminosos: **ao inves de ransomware ou extorsao rapida, FIN13 opera com paciencia cirurgica** - estudando o ambiente da vitima por meses antes de executar transações fraudulentas minimas que, somadas, resultam em roubos de milhões de dólares sem acionar alertas. O arsenal do grupo inclui mais de **80 ferramentas e scripts customizados**. FIN13 e altamente proficiente em **ataques Java** - frequentemente ganha acesso inicial explorando aplicações Java legadas em maquinas Linux que raramente recebem atualizacoes ou monitoramento equivalente ao Windows. O grupo chega a **implantar sua propria aplicação Java completa** em servidores das vitimas para executar comandos enquanto a aplicação legitima continua operando. CrowdStrike rastreia o grupo como **SQUAB SPIDER**, confirmando que continua ativo em 2024. **Também conhecido como:** Elephant Beetle, TG2003, SQUAB SPIDER **MITRE ATT&CK:** [G1016](https://attack.mitre.org/groups/G1016/) ## Modelo de Operação - Patience as a Weapon ```mermaid graph TB A["Fase 1 - Recon<br/>Ate 1 mes<br/>Mapeamento de rede e backdoors"] --> B["Fase 2 - Estudo<br/>Varios meses<br/>Processos de transações financeiras"] B --> C["Fase 3 - Execução<br/>Transacoes fraudulentas minimas<br/>Mimetizam comportamento legit"] C --> D["Resultados<br/>Acumulacao de milhoes<br/>US$15-20M por operação"] D --> E["Se Detectado<br/>Lay low por meses<br/>Return and target diff system"] classDef recon fill:#1a5276,color:#fff,stroke:#154360 classDef study fill:#8e44ad,color:#fff,stroke:#6c3483 classDef exec fill:#e67e22,color:#fff,stroke:#d35400 classDef result fill:#196f3d,color:#fff,stroke:#145a32 classDef evade fill:#c0392b,color:#fff,stroke:#922b21 class A recon class B study class C exec class D result class E evade ``` ## Attack Flow - Intrusão Financeira ```mermaid graph TB A["Acesso Inicial<br/>T1190 Exploit Java app<br/>ou web shell publico"] --> B["Foothold Java<br/>BLUEAGAVE bind shell<br/>Web app customizada implantada"] B --> C["Recon Extenso<br/>nmap / SQL server scan<br/>Symantec Altiris / LanDesk"] C --> D["Escalada Credenciais<br/>NTDS dump / SAM<br/>KeePass trojanizado"] D --> E["Target: Sistemas Core<br/>POS / ATM networks<br/>Treasury systems"] E --> F["Fraude Silenciosa<br/>Transacoes mimetizando<br/>comportamento legitimo"] classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef java fill:#e67e22,color:#fff,stroke:#d35400 classDef recon fill:#34495e,color:#fff,stroke:#2c3e50 classDef cred fill:#8e44ad,color:#fff,stroke:#6c3483 classDef target fill:#1a5276,color:#fff,stroke:#154360 classDef fraud fill:#196f3d,color:#fff,stroke:#145a32 class A access class B java class C recon class D cred class E target class F fraud ``` ## Técnicas Distintivas **Trojanizacao do KeePass:** FIN13 substitui binarios legitimos do KeePass por versoes modificadas para coletar senhas de múltiplas aplicações - técnica sofisticada que demonstra conhecimento profundo do ambiente corporativo. **Abuso de ferramentas de gestao corporativa:** O grupo explorou consoles Symantec Altiris e contas LanDesk para executar comandos de reconhecimento - transformando ferramentas de administracao legitimas em proxies de comando. **Chaining de web shells:** FIN13 encadeia múltiplos web shells para proxiar trafego e mover lateralmente entre ativos comprometidos via aplicações BLUEAGAVE infectadas. ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1134-003-make-and-impersonate-token|T1134.003 - Make and Impersonaté Token]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1565-data-manipulation|T1565 - Data Manipulation]] - [[t1657-financial-theft|T1657 - Financial Theft]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] - [[t1090-001-internal-proxy|T1090.001 - Internal Proxy]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1021-002-smb-windows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1087-002-domain-account|T1087.002 - Domain Account]] - [[t1003-002-security-account-manager|T1003.002 - Security Account Manager]] - [[t1003-003-ntds|T1003.003 - NTDS]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] ## Software Utilizado - [[s0357-impacket|Impacket]] - [[mimikatz|Mimikatz]] - [[s0363-empire|Empire]] - [[s0160-certutil|certutil]] - [[blueagave|BLUEAGAVE]] - [[drawstring|DRAWSTRING]] - [[gotbot2|GOTBOT2]] ## Relevância para o Brasil e LATAM > [!danger] Ameaça Primaria ao Setor Financeiro e Varejo Brasileiro > FIN13 e **o grupo com ameaça mais direta e documentada ao Brasil** nesta lista. Uma decada de operações no setor financeiro LATAM (2016-2026), foco comprovado no Mexico que naturalmente se estende ao mercado financeiro brasileiro, e a Sygnia já documentou compromisso de **filial de empresa americana na América Latina** - padrao que se aplica a qualquer subsidiaria brasileira de multinacional. Bancos (Itau, Bradesco, BTG, Banco do Brasil), varejistas (Magazine Luiza, Américanas) e empresas de hospitalidade sao alvos de alto risco. A especializacao em **sistemas Java legados em Linux** e critica para o Brasil: muitos sistemas bancarios e de pagamento brasileiros historicamente rodavam (e alguns ainda rodam) em stacks Java/Linux que raramente recebem a mesma aténcao de segurança que Windows. ATMs e redes POS sao o objetivo final do grupo. Empresas brasileiras envolvidas em **fusoes e aquisicoes** (M&A) sao alvos de interesse especial - FIN13 rouba dados de M&A para vantagem competitiva ou extorsao dirigida a executivos. --- *Fontes: [MITRE ATT&CK - G1016](https://attack.mitre.org/groups/G1016) | [Mandiant FIN13](https://cloud.google.com/blog/topics/threat-intelligence/fin13-cybercriminal-mexico) | [Sygnia Elephant Beetle](https://www.sygnia.co/threat-reports-and-advisories/elephant-beetle-an-organized-financial-theft-operation/) | [CrowdStrike SQUAB SPIDER](https://www.crowdstrike.com/en-us/adversaries/squab-spider/)*