FIN11 APT

FIN11 APT هو التعيين الممنوح لمجموعة من المتسللين الذين تم تشغيلهم منذ عام 2016. تتميز هذه المجموعة المعينة بفترات نشاط شديد حيث لوحظ أنها نفذت ما يصل إلى خمس حملات هجوم في أسبوع واحد تليها فترات عندما إنه نائم نسبيًا. لا تعرض FIN11 قدرًا كبيرًا من التطور في مجموعة أدوات البرامج الضارة أو إجراءات الهجوم ، لكنها تعوضها بحجم كبير.

في حين أن معظم مجموعات APT المماثلة تفشل في الحفاظ على وجودها لفترة طويلة ، فإن FIN11 لم تعمل فقط لسنوات عديدة ، ولكنها خضعت لتغييرات مستمرة من خلال توسيع أهدافها المفضلة وتحويل تركيز هجماتها. بين عامي 2017 و 2018 ، ركزت FIN11 على مهاجمة مجموعة ضيقة من الكيانات ، معظمها تلك التي تعمل في قطاعات البيع بالتجزئة والمالية والضيافة. ومع ذلك ، في العام التالي ، لم يُظهر المتسللون أي تفضيل خاص لقطاع صناعي أو موقع جغرافي عند اختيار ضحاياهم الذين يهاجمون بشكل عشوائي.

في الوقت نفسه ، كان المتسللون يتكيفون بسرعة مع المشهد المتغير لاتجاهات تحقيق الدخل بين الجهات الفاعلة في مجرمي الإنترنت. في البداية ، نشرت FIN11 البرامج الضارة لنقاط البيع (POS) قبل الانتقال إلى هجمات برامج الفدية. في نشاطهم الأخير ، غالبًا في عام 2020 ، تبنت المجموعة الابتزاز الهجين. يعرض المتسللون ضحاياهم للخطر باستخدام CLOP Ransomware ، ولكن قبل بدء تشفير العملية ، يتم التسلل إلى أنواع مختلفة من البيانات من أجهزة الكمبيوتر المستهدفة إلى خوادم تحت سيطرة FIN11. ثم يُعرض على الضحايا خيار صعب - دفع فدية للمتسللين ، ونأمل أن يحصلوا على أداة فك تشفير صالحة أو المخاطرة بتسريب بيانات خاصة أو خاصة بالشركة عبر الإنترنت.

لإنشاء البنية التحتية التي تدعم نشاطهم الإجرامي ، يعتمد المتسللون من FIN11 على العديد من الخدمات التي يقدمها التجار السريون. يمكن أن تتراوح هذه الخدمات من الاستضافة إلى إنشاء أدوات البرامج الضارة وشهادات توقيع التعليمات البرمجية وتسجيل المجال.

من خلال استعدادهم لاتباع الاتجاهات الأكثر شيوعًا في الهجمات الإلكترونية ، وعدم التركيز بشكل خاص على مجموعة من الأهداف ، وإثبات قدرتهم على تنفيذ هجمات تصيد متعددة في نفس الوقت ، يمكن أن يظل FIN11 تهديدًا قويًا في المستقبل المنظور.