FIN11 APT

FIN11 APT е обозначението, дадено на колектив от хакери, които работят от 2016 г. Тази конкретна група се характеризира с периоди на екстремна активност, при които е наблюдавано провеждане на до пет кампании за атака в рамките на една седмица, последвани от периоди, когато тя е относително латентна. FIN11 не показва много изтънченост в своя набор от инструменти за зловреден софтуер или процедури за атака, но го компенсира с огромен обем.

Докато повечето подобни APT групи не успяват да поддържат съществуването си за дълго, FIN11 не само работи от няколко години, но и претърпява постоянна промяна чрез разширяване на предпочитаните от тях цели и превключване на фокуса на своите атаки. Между 2017 и 2018 г. FIN11 беше съсредоточен върху атакуването на тясна група субекти, предимно тези, работещи в сектора на търговията на дребно, финансовия и хотелиерския сектор. На следващата година обаче хакерите не показаха особено предпочитание към индустриален сектор или географско местоположение, когато избираха жертвите си да атакуват безразборно.

В същото време хакерите се адаптират бързо към променящия се пейзаж на тенденциите за монетизация сред киберпрестъпниците. Първоначално FIN11 внедри зловреден софтуер на точката на продажба (POS), преди да премине към атаки на ransomware. В последната си дейност, предимно през 2020 г., групата е приела хибридно изнудване. Хакерите компрометират жертвите си с CLOP Ransomware, но преди да започне криптирането на процеса, различни типове данни от целевите компютри се ексфилтрират към сървъри под контрола на FIN11. След това жертвите са поставени пред труден избор - да платят откуп на хакерите и да се надяваме, че ще получат работещ инструмент за декриптиране или рискуват да изтекат онлайн потенциално чувствителни корпоративни или частни данни.

За да създадат инфраструктура, поддържаща престъпната им дейност, хакерите от FIN11 разчитат на множество услуги, предоставяни от подземни дилъри. Тези услуги могат да варират от хостинг до създаване на инструменти за злонамерен софтуер, сертификати за подписване на код и регистрация на домейн.

С желанието си да следват най-популярните тенденции в кибератаките, без особен фокус върху група цели и демонстрирания капацитет за извършване на множество фишинг атаки едновременно, FIN11 може да остане мощна заплаха в обозримо бъдеще.