Un tribunal de los Estados Unidos condenó ayer a un ciudadano ucraniano a cinco años de prisión por su papel en un delito cibernético global de décadas que robó más de 20 millones de registros de tarjetas de fidelización y generó más de mil millones de dólares en ganancias.
Denys Iarnak, de 32 años, se desempeñó como probador de penetración para el nexo de ciberdelincuencia FIN7, también rastreado como Carbon Spider y Gold Niagara. El grupo con sede en Rusia se ha relacionado recientemente con el uso de ransomware REvil y Darkside.
Fue arrestado en Tailandia en 2019 y luego extraditado a Estados Unidos para ser juzgado. Otros dos miembros del colectivo detenidos en 2018 ya habían sido encarcelados anteriormente por delitos similares.
«Iarmak y sus conspiradores comprometieron millones de cuentas financieras, causando más de mil millones de dólares en pérdidas para los estadounidenses y costos para la economía estadounidense», dijo el fiscal general adjunto Kenneth Polite de la División Criminal del Departamento de Justicia.
“Proteger las empresas en línea, tanto grandes como pequeñas, es una prioridad principal para el Departamento de Justicia. Estamos comprometidos a trabajar con nuestros socios internacionales para responsabilizar a estos ciberdelincuentes, independientemente de dónde vivan o qué tan anónimos elijan ser”.
El fiscal federal Nicholas Brown del Distrito Oeste de Washington, quien dirigió la acusación, agregó: «Iarmak estuvo directamente involucrado en el desarrollo de correos electrónicos de phishing con malware integrado, infiltrándose en las redes de las víctimas y extrayendo datos como la información de la tarjeta de pago.
“Para empeorar las cosas, continuó su trabajo con la empresa criminal FIN7 incluso después del arresto y procesamiento de los cómplices. Él y otros en este grupo de ciberdelincuentes utilizaron técnicas de piratería para robar esencialmente miles de restaurantes de cadenas múltiples simultáneamente desde la comodidad y seguridad de sus teclados en tierras lejanas”.
El tribunal escuchó cómo FIN7 accedió a las redes de empresas en EE. UU., Reino Unido, Australia y Francia y robó registros de más de 6500 terminales de punto de venta en más de 3600 ubicaciones. Las víctimas notables en los EE. UU. incluyen cadenas de restaurantes como Chipotle y Panera, y minoristas Saks Fifth Avenue y Lord & Taylor.
Por lo general, favorecía a las empresas hoteleras, a las que atacaba con correos electrónicos de phishing personalizados seguidos de llamadas telefónicas a las víctimas previstas, lo que otorgaba legitimidad adicional a sus señuelos.
Después de convencer a sus objetivos de que abrieran y ejecutaran el archivo adjunto al correo electrónico, FIN7 usó una versión personalizada del malware Carbanak y otras herramientas para acceder y robar los datos de las tarjetas de pago de los clientes. Gran parte de esta información se puso a la venta más tarde en la dark web.
Tenga en cuenta que algunos investigadores han rastreado al grupo como Carbanak, pero dado que se sabe que otros grupos de delitos cibernéticos usan Carbanak, llamar a FIN7 por ese nombre puede no ser del todo exacto.
Iarmak se unió al grupo en algún momento de noviembre de 2016 y trabajó para ellos durante un período de dos años. Se especializó en el uso del paquete de software legítimo de gestión de proyectos Jira que FIN7 alojaba en varios servidores virtuales privados para coordinar las actividades de la banda y gestionar sus incursiones en la red.
Las autoridades creen que recibió una compensación sustancial por su trabajo para FIN7, que supuestamente «superó con creces el empleo legal comparable en Ucrania».
Todavía muy activo
A pesar de los arrestos y condenas de miembros clave de FIN7, el grupo permanece activo y continúa desarrollando sus tácticas, técnicas y procedimientos.
A principios de abril, los investigadores de Mandiant, que jugaron un papel decisivo en el seguimiento de FIN7, publicaron nueva información sobre las últimas actividades del grupo.
Recientemente, ha recurrido con entusiasmo al compromiso de la cadena de suministro para obtener acceso a sus víctimas previstas; Mandiant reveló el año pasado que FIN7 comprometió a un minorista de productos digitales en línea y cambió varios enlaces de descarga para apuntar a un depósito de Amazon S3 que contenía versiones troyanizadas que contenían un instalador de agente utilizado para implementar una nueva puerta trasera llamada Powerplant.
Mandiant dijo que el marco de Powerplant permite una «enorme» amplitud de capacidades dependiendo de qué módulos son atendidos por el servidor de comando y control (C2) y, por lo tanto, es altamente peligroso.