I ricercatori di Prodaft hanno scoperto che il gruppo FIN7 utilizza un sistema automatizzato, denominato Checkmarks, per sfruttare le vulnerabilità dei server Microsoft Exchange. Gli attacchi vengono effettuati direttamente oppure da altri cybercriminali che acquistano l’accesso iniziale. La maggioranza delle aziende colpite si trova negli Stati Uniti, ma molte sono anche in Italia.
Checkmarks: scanner di vulnerabilità
FIN7 è un gruppo di cybercriminali russi noto per aver effettuato attacchi usando varie tecniche (anche con una pen drive USB inviata tramite posta ordinaria). Chechmarks è un sistema che automatizza la scansione dei server Microsoft Exchange per individuare quelli non aggiornati. In particolare vengono sfruttate vulnerabilità che consentono l’esecuzione di codice remoto e l’elevazione dei privilegi.
Il tool effettua inoltre la scansione con SQLMap per trovare server vulnerabili agli attacchi SQL Injection. Dopo aver ottenuto l’accesso iniziale, Checkmarks estrae automaticamente le informazioni dei server e le email da Active Directory. Le vittime sono aggiunte ad un pannello di controllo che fornisce dettagli completi sui server.
A questo punto inizia il lavoro del team “marketing” di FIN7 che raccoglie informazioni sulle aziende, tra cui entrate finanziarie, numero di dipendenti e mercato di riferimento. Lo scopo è determinare la possibilità di successo degli attacchi ransomware, ovvero i profitti derivanti dalla richiesta di riscatto.
FIN7 ha legami con altri gruppi di cybercriminali, tra cui DarkSide, Black Basta, REvil e LockBit, ai quali viene venduto l’accesso ai server. Dopo aver completato l’attacco ransomware viene infatti lasciata una backdoor SSH che può essere utilizzata dai loro “colleghi”.
Ti potrebbe interessare
23 dic 2022