FIN11 APT

FIN11 APT és la denominació que es dóna a un col·lectiu de pirates informàtics que està operatiu des de l'any 2016. Aquest col·lectiu en concret es caracteritza per tenir períodes d'activitat extrema on s'ha observat la realització de fins a cinc campanyes d'atac en una sola setmana seguits de períodes en què està relativament latent. FIN11 no mostra gaire sofisticació en el seu conjunt d'eines de programari maliciós o procediments d'atac, però ho compensa amb un gran volum.

Tot i que la majoria de grups d'APT similars no poden mantenir la seva existència durant molt de temps, FIN11 no només ha estat operatiu durant diversos anys, sinó que ha experimentat un canvi constant ampliant els seus objectius preferits i canviant el focus dels seus atacs. Entre el 2017 i el 2018, FIN11 es va concentrar a atacar un grup reduït d'entitats, sobretot aquelles que treballen en els sectors minorista, financer i hoteler. No obstant això, l'any següent, els pirates informàtics no van mostrar cap preferència particular per un sector industrial o per una ubicació geogràfica a l'hora d'escollir les seves víctimes atacant indiscriminadament.

Al mateix temps, els pirates informàtics s'han anat adaptant ràpidament al panorama canviant de les tendències de monetització entre els actors cibercriminals. Inicialment, FIN11 va desplegar programari maliciós de punt de venda (POS) abans de passar als atacs de ransomware. En la seva activitat recent, principalment el 2020, el grup ha adoptat l'extorsió híbrida. Els pirates informàtics comprometen les seves víctimes amb CLOP Ransomware, però abans que s'iniciï el xifratge del procés, diversos tipus de dades dels ordinadors de destinació s'exfiltran als servidors sota el control de FIN11. Aleshores, a les víctimes se'ls presenta una elecció difícil: pagar un rescat als pirates informàtics i, s'espera que rebin una eina de desxifrat que funcioni o arriscar-se a filtrar en línia dades corporatives o privades potencialment sensibles.

Per crear la infraestructura que suporta la seva activitat criminal, els pirates informàtics de FIN11 confien en nombrosos serveis proporcionats per distribuïdors clandestins. Aquests serveis poden anar des d'allotjament fins a la creació d'eines de programari maliciós, certificats de signatura de codi i registre de dominis.

Amb la seva voluntat de seguir les tendències més populars en ciberatacs, sense un enfocament particular en un grup d'objectius i la capacitat demostrada per portar múltiples atacs de pesca al mateix temps, FIN11 podria seguir sent una amenaça potent per al futur previsible.