विपुल रूसी साइबर क्राइम सिंडिकेट FIN7 अपने कस्टम मैलवेयर-अक्षम सुरक्षा समाधान को विभिन्न रैंसमवेयर गिरोहों को बेचने के लिए विभिन्न उपनामों का उपयोग करता है।
AvNeutralizer मैलवेयर को पहले पूरी तरह से ब्लैक बस्ता समूह से जुड़ा हुआ माना जाता था, लेकिन नए शोध से मैलवेयर के लिए कई भूमिगत फोरम लिस्टिंग का पता चला है, जिसके बारे में अब माना जाता है कि इसे FIN7 ऑपरेटरों द्वारा बनाया गया है।
साइबर अपराधी विशिष्ट समापन बिंदु पहचान और प्रतिक्रिया (ईडीआर) समाधान निर्दिष्ट करेंगे जिन्हें वे बायपास करना चाहते थे, और फिर एक कस्टम जनरेटर प्रदान किया जाएगा…
कीमतें $4,000 और $15,000 के बीच हैं और सबूत बताते हैं कि AvNeutralizer कम से कम 2022 से बाजार में है, 2023 की शुरुआत में FIN7 के टूल के शामिल होने से जुड़ाव में वृद्धि हुई है।
सेंटिनलवन शोधकर्ताओं ने कहा कि मैलवेयर अपने स्वयं के पोर्टफोलियो और विंडोज डिफेंडर के साथ-साथ सोफोस, पांडा सिक्योरिटी, इलास्टिक और सिमेंटेक से एंडपॉइंट सुरक्षा उत्पादों को अक्षम करने में प्रभावी है।
ब्लैक बस्ता को कुछ साल पहले AvNeutralizer का उपयोग करते हुए देखा गया था, लेकिन 2023 में शुरू हुए कई अन्य रैंसमवेयर अभियानों ने भी पता लगाने से बचने के लिए मैलवेयर का उपयोग करना शुरू कर दिया है।
अपराधी प्रसिद्ध रैंसमवेयर-ए-ए-सर्विस (RaaS) वेरिएंट का उपयोग कर रहे हैं जैसे लॉक बिट, ALPHV/काली बिल्लीट्राइन, एवोस लॉकरऔर जेलिफ़िश सभी ने दिखाया है कि उन्हें AvNeutralizer में मूल्य मिलता है, हालाँकि FIN7 और इन RaaS ऑपरेशनों के बीच ठोस संबंध मजबूती से स्थापित नहीं हुए हैं।
सेंटिनलवन जिसे अब FIN7 द्वारा अपनाए गए छद्म नाम मानता है, उससे टूल खरीदते समय, साइबर अपराधी विशिष्ट एंडपॉइंट डिटेक्शन और रिस्पॉन्स (EDR) समाधान निर्दिष्ट करेंगे जिन्हें वे बायपास करना चाहते थे, फिर उन्हें एक वैयक्तिकृत जनरेटर प्रदान किया गया था।
“उपलब्ध साक्ष्य और पिछली खुफिया जानकारी को देखते हुए, हम उच्च विश्वास के साथ अनुमान लगाते हैं कि ‘गुडसॉफ्ट’, ‘लेफ्रोगी’, ‘किलरएवी’ और ‘स्टुपोर’ (अक्षर) FIN7 क्लस्टर से संबंधित हैं,” सेंटिनलवन में सुरक्षा शोधकर्ता एंटोनियो कोकोमाज़ी आक्रामक ने कहा। इस सप्ताह एक ब्लॉग.
इसके अतिरिक्त, ये दुर्भावनापूर्ण अभिनेता अपनी वास्तविक पहचान को छुपाने और इस नेटवर्क के भीतर अपने अवैध संचालन का समर्थन करने के लिए विभिन्न मंचों पर कई उपनामों का उपयोग कर सकते हैं। »
AvNeutralizer भी निरंतर विकास में है और FIN7 के उपकरणों के शस्त्रागार का एक स्तंभ साबित हुआ है, जिसमें बैकडोर शामिल हैं, पावरशेल स्क्रिप्ट और किट का परीक्षण।
सबसे हालिया संस्करण, जिसे पहली बार अप्रैल 2023 में देखा गया था, ने विशिष्ट प्रक्रियाओं में सेवा की स्थिति से इनकार करने के लिए विंडोज़ में निर्मित टीटीडी मॉनिटर ड्राइवर, ProcLaunchMon.sys का उपयोग करके एक नई छेड़छाड़ तकनीक पेश की।
FIN7 EDR समाधानों को कैसे क्रैश करता है, इसकी पूरी जानकारी सेंटिनलवन में दी गई है ब्लॉग लेकिन संक्षेप में यह लक्षित संरक्षित प्रक्रियाओं की चाइल्ड प्रक्रियाओं को निलंबित कर देता है। बाद वाला तब विफल हो जाता है क्योंकि वे अब पहले वाले के साथ संवाद नहीं कर सकते हैं।
यह भी ध्यान दिया जाना चाहिए कि यह ईडीआर प्रक्रियाओं को नष्ट करने के लिए एक सार्वभौमिक तरीका नहीं है: सर्वोत्तम सुरक्षा समाधानों को नष्ट करने के लिए दस से अधिक अन्य उपयोगकर्ता-मोड और कर्नेल-मोड तकनीकों का उपयोग किया जाता है। वे सभी पहले से ही अच्छी तरह से प्रलेखित हैं।
एट्रिब्यूशन का महत्व
सेंटिनलवन ने कहा कि उसे अब AvNeutralizer की बेहतर समझ है कि इसकी मार्केटिंग कैसे की जाती है और इसका उपयोग कौन करता है। यह टीम को दुर्भावनापूर्ण गतिविधि को अधिक सटीक रूप से ट्रैक करने और बेहतर जानकारी वाले पूर्वव्यापी विश्लेषण करने की अनुमति देता है।
FIN7 2012 से व्यवसाय में है और पिछले 12 वर्षों में इसने पॉइंट-ऑफ-सेल (PoS) कार्ड-चोरी करने वाले मैलवेयर को तैनात करने के शुरुआती दिनों से लेकर 2020 में पूरी तरह से रैंसमवेयर गिरोह बनने तक लगातार अपनी रणनीति विकसित की है।
कई बार वह REvil और Conti जैसी कंपनियों से जुड़े रहे, लेकिन उन्होंने डार्कसाइड के रूप में अपना खुद का RaaS ऑपरेशन भी बनाया, जिसे बाद में हिट होने के बाद BlackMatter नाम दिया गया। औपनिवेशिक पाइपलाइन.
जब इसके सदस्य उपनामों की एक श्रृंखला के पीछे छिपने की कोशिश नहीं कर रहे थे, तो उन्होंने अपने कार्यों को छिपाने के लिए कॉम्बी सिक्योरिटी और बैस्टियन सिक्योर जैसी नकली कंपनियां बनाईं और रैंसमवेयर हमलों के स्थान पर मदद करने के लिए अनजाने आईटी पेशेवरों को नियुक्त किया। यह बहुत अच्छा काम नहीं किया उनमें से कुछ के लिए.
पिछले कुछ वर्षों में FIN7 सदस्यों की कई गिरफ्तारियों के बावजूद, समूह का विकास जारी है और उसका अस्तित्व बना हुआ है, जिससे आरोप लगाने का कार्य और भी महत्वपूर्ण हो गया है।
कोकोमाज़ी ने कहा, “FIN7 का निरंतर नवाचार, विशेष रूप से सुरक्षा उपायों से बचने के लिए इसकी परिष्कृत तकनीकों में, इसकी तकनीकी विशेषज्ञता को दर्शाता है।”
“समूह द्वारा कई उपनामों का उपयोग और अन्य साइबर आपराधिक संस्थाओं के साथ सहयोग एट्रिब्यूशन को और अधिक कठिन बना देता है और इसकी उन्नत परिचालन रणनीतियों को प्रदर्शित करता है। हमें उम्मीद है कि यह शोध FIN7 की उभरती रणनीति को समझने और कम करने के लिए और प्रयासों को प्रेरित करेगा। »®
