Fin7, temuto gruppo di cybercriminali russi, è tornato in azione. Scopri come operano e la loro nuova alleanza con Stark Industries Solutions.
Il gruppo di cybercriminali russo noto come “Fin7” ha ripreso le sue attività, nonostante fosse stato dichiarato “morto” lo scorso anno dalle autorità statunitensi. Conosciuti per attacchi di phishing e malware che hanno provocato danni superiori ai 3 miliardi di dollari dal 2013, gli esperti affermano che Fin7 è tornato a colpire con il supporto della Stark Industries Solutions, un gigantesco provider di hosting che spesso facilita gli attacchi informatici contro i nemici della Russia.
Nel maggio 2023, il procuratore degli Stati Uniti per lo stato di Washington aveva dichiarato che “Fin7 non esiste più”, dopo le condanne di tre personaggi di spicco del gruppo. Tuttavia, **Fin7** ha mostrato i primi segnali di rinascita nell’aprile 2024, quando **Blackberry** ha rilevato un’intrusione in una grande azienda automobilistica tramite un attacco mirato di typosquatting.
Secondo i ricercatori di **Silent Push**, il gruppo è responsabile di un’infrastruttura di cybercrimine in rapida crescita, comprendente oltre 4.000 host che utilizzano una varietà di exploit, da annunci-trappola a estensioni del browser dannose. Tra i marchi presi di mira da Fin7 ci sono American Express, Grammarly, Google, Microsoft 365, Netflix, Reuters e molti altri.
Zach Edwards, analista senior delle minacce presso Silent Push, ha spiegato che **Fin7** utilizza domini dall’aspetto innocuo, spesso con contenuti generici, per costruirsi una reputazione benigna prima di trasformarli in pagine di phishing mirate. Questa pratica consente al gruppo di creare una vasta infrastruttura di phishing collaudata e pronta all’uso.
Negli attacchi di **typosquatting**, Fin7 registra domini simili a quelli di strumenti software popolari, promuovendoli tramite annunci sponsorizzati su Google per farli apparire in cima ai risultati di ricerca. Recenti indagini hanno rivelato l’impiego di falsi annunci di download di estensioni del browser che installano malware sui computer degli utenti.
Secondo **Silent Push**, **Fin7** si serve di un vasto numero di indirizzi IP dedicati, forniti da **Stark Industries Solutions**, una società di hosting apparsa circa due settimane prima dell’invasione della Ucraina da parte della Russia. Questa collaborazione permette al gruppo di stabilire e mantenere un’infrastruttura robusta per i suoi attacchi, e si basa su un modello organizzativo che ricorda false società di sicurezza informatica utilizzate in passato.
Inoltre, **Fin7** non perde occasione per sfruttare eventi attuali. Recentemente, ha mirato ai turisti che visitano la Francia in occasione delle Olimpiadi estive, creando siti di phishing dedicati agli spettatori che cercano biglietti per il Louvre.
Edwards spera che le forze dell’ordine prendano atto di questi sviluppi e rinnovino gli sforzi per contrastare **Fin7**, mentre le aziende di sicurezza continuano a monitorare e smantellare la loro infrastruttura.
Per maggiori dettagli, consulta i seguenti articoli: