A FireEye Threat intelligence e iSight Partners relatam as atividades de um grupo em particular – o FIN6- desde a intrusão inicial até a venda dos dados de pagamento de cartões roubados no mercado negro.
FIN6 é um grupo cibercriminoso que tem como intenção roubar dados de cartões de pagamento para obter ganhos financeiros. Em 2015, a FireEye Threat Intelligence apoiou várias investigações da Mandiant nos setores de hotelaria e varejo, verticais que o grupo FIN6 atacou agressivamente e comprometeu os sistemas de ponto de vendas, roubando milhões de números de cartões de pagamento.
A FireEye descobriu que os dados dos cartões roubados eram vendidos em uma "loja de cartões"- um marketplace no mercado negro usado para a venda ou troca de dados de cartão.
Não é totalmente claro como o FIN6 compromete as vítimas inicialmente. Nas investigações realizadas pela Mandiant, o grupo já possuía credenciais válidas para a rede de cada vítima e usava essas credenciais para iniciar a intrusão. Suspeita-se que o computador já estivesse comprometido com o malware GRABNEW, inserido por outro grupo criminoso. O FIN6 pode ter obtido essas credenciais (por meio de compra ou negociação) e usou-as para suas operações.
Depois de ganhar acesso com credenciais válidas, o FIN6 fazia uso dos componentes do Metasploit Framework para estabelecer a sua posição. Por exemplo, utilizou o módulo Metasploit PowerShell para baixar e executar shellcode, e configurar um ouvinte local que iria executar o shellcode recebido por uma porta específica. Da mesma forma, utilizaram pelo menos dois downloaders chamados HARDTACK e SHIPBREAD, a fim de estabelecer um acesso backdoor para o ambiente comprometido.
Uma vez estabelecidos seus acessos com backdoors preferenciais, o FIN6 utilizava serviços públicos adicionais, tais como o Windows Credential Editor para escalonamento de privilégios e para colher credenciais. Ferramentas adicionais de escalonamento de privilégios exploravam vulnerabilidades do Microsoft Windows em uma tentativa de comprometer as credenciais de contas privilegiadas em vários hosts.
Além de coletar credenciais, o FIN6 usava ferramentas públicas para mapear a rede interna e conduzir reconhecimento em relação ao Active Directory, servidores Structured Query Language (SQL), e NETBIOS.
Em um caso particular, o FIN6 comprometeu e instalou o TRINITY – malware de ponto de vendas que tentar localizar e roubar dados de cartões de pagamento a partir da memória – em 2 mil sistemas, o que resultou na exposição de milhões de cartões.
Finalmente, para mover os dados dos cartões para fora da rede, o FIN6 utilizava um script para replicar sistematicamente através de uma lista de sistemas de POS (pontos de vendas) comprometidos, copiando os arquivos de dados coletados para um arquivo "log" numerado antes de remover os arquivos de dados originais. Então comprimiam os arquivos log em ZIP e os moviam para um sistema intermediário, e depois para um sistema de suporte. A partir daí, copiavam os dados roubados para servidores C2 externos sob seu controle usando o utilitário de comando FTP. Em um outro caso, a FireEye observou o grupo utilizar um método de extração alternativo, fazendo o upload dos dados roubados em um serviço público de compartilhamento de arquivos.
Mercado negro de dados de cartões
Através de informações coletadas pela iSIGHT Partners, identificou-se que os dados dos cartões de pagamento roubados nestas invasões eram vendidos em uma loja de cartões no mercado negro. Isso fecha o "ciclo de vida" da atividade cibercriminosa e exemplifica o intuito final: monetizar os dados roubados.
Os dados roubados pelo FIN6 acabam nas mãos de operadores de fraudes do mundo todo, que compram e exploram os dados comprados nas lojas do mercado negro. Identificou-se que os dados roubados pelo grupo começam a aparecer no mercado negro seis meses após o início das violações do FIN6.
A análise da FireEye sobre os dados vendidos através de um fornecedor (loja) específico do mercado negro indica que a atividade é muito rentável para os criminosos envolvidos no roubo e na venda dos dados. Em uma das brechas do FIN6, identificou-se que uma loja estava oferecendo algo em torno de 20 milhões de cartões, predominantemente dos EUA. Cada cartão estava sendo vendido a $21 em média, então o retorno financeiro para a loja pode ter sido de até $400 milhões.
Uma combinação de fatores é necessária para se ter uma boa inteligência contra ameaças. É necessária uma visão ampla (a capacidade de identificar a atividade em uma série de países, segmentos e organizações) e uma visão profunda (para reunir informações detalhadas sobre como os atores de ameaças operam). Exige também analistas qualificados que sejam capazes de avaliar, unir e compreender os dados disponíveis.
A FireEye, Mandiant Consulting, e a equipe de inteligência iSIGHT foram capazes não só de identificar atividades maliciosas que visam roubar dados de cartões de pagamento, mas também fornecer uma janela detalhada sobre a monetização dos dados roubados.