Il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha annunciato la condanna di Denys Iarmak, cittadino ucraino, a cinque anni di carcere per aver lavorato come penetration tester nei FIN7.
FIN7, noto anche come Carbanak, è un gruppo di criminali informatici che si concentra sul frodi finanziarie. Attivi almeno dal 2015, i componenti di FIN7 hanno preso di mira il settore bancario e della vendita al dettaglio attraverso truffe Business Email Compromise (BEC), attacchi contro i sistemi point-of-sale (PoS) e compromissione della supply chain.
Il gruppo ha evoluto costantemente le sue tattiche e migliorato il suo toolkit. Il malware utilizzato dal gruppo include backdoor, ruba-informazioni, Trojan, moduli di accesso RDP e persino pendrive USB dannose che vengono fisicamente inviate alle aziende ignare.
I ricercatori Blueliv dicono che FIN7 è una delle principali minacce per il settore finanziario di oggi. Il DoJ stima che almeno 1 miliardo di dollari di danni è stato fatto alle organizzazioni e ai consumatori statunitensi.
I procuratori dicono che Iarmak ha lavorato come pentester per il gruppo. Nella cybersicurezza, i pen tester possono essere incaricati di testare il software e la sicurezza, ma in questo caso, il 32enne era responsabile della gestione delle intrusioni di rete.
Tra i suoi compiti c’era la creazione di “progetti” di intrusione in JIRA per tracciare i cyberattacchi, compreso l’accesso iniziale, il progresso della sorveglianza e il furto di dati. I membri del gruppo potevano commentare ogni progetto e offrirsi reciprocamente consigli.
“Come un esempio, Iarmak ha creato un ticket JIRA, a cui lui e altri membri del cybergroup avevano accesso, per una specifica azienda vittima, e, il 3 marzo 2017 o circa, Iarmak ha aggiornato quel JIRA e caricato i dati che aveva rubato da quella società”, dice il DoJ.
Mentre i pubblici ministeri non hanno detto quanto Iarmak abbia guadagnato, hanno notato il suo stipendio “molto superiore rispetto alle occupazioni ucraine”.
Iarmak è stato fermato e arrestato a Bangkok, in Thailandia, nel 2019. L’hacker ha combattuto l’estradizione ma è stato inviato negli Stati Uniti nel 2020.
È stato accusato e si è dichiarato colpevole di un’accusa di cospirazione per una frode telematica e un’accusa di cospirazione per hacking informatico.
Il DoJ ha iniziato ad arrestare i membri del FIN7 nel 2018. Ad oggi, tre sono stati condannati negli Stati Uniti. Iarmak si unisce a Fedir Hladyr, condannato a 10 anni di carcere, e Andrii Kolpakov, che sconterà una pena detentiva di sette anni.
“Iarmak era direttamente coinvolto nella progettazione di e-mail di phishing con malware incorporati, intrufolandosi nelle reti delle vittime ed estraendo dati come le informazioni delle carte di pagamento”, ha commentato il procuratore degli Stati Uniti Nicholas Brown del distretto occidentale di Washington. “A peggiorare le cose, ha continuato il suo lavoro con FIN7 anche dopo l’arresto e il perseguimento dei co-cospiratori”.