FIN11 APT

FIN11 APT er betegnelsen til et kollektiv af hackere, der har været operationelle siden 2016. Denne særlige gruppe er karakteriseret ved at have perioder med ekstrem aktivitet, hvor det er blevet observeret at gennemføre op til fem angrebskampagner i en enkelt uge efterfulgt af perioder, hvor det er relativt sovende. FIN11 viser ikke meget sofistikeret i sit malware-værktøjssæt eller angrebsprocedurer, men det kompenserer for det med et stort volumen.

Mens de fleste lignende APT-grupper ikke opretholder deres eksistens i lang tid, har FIN11 ikke kun været operationel i flere år, men den har gennemgået konstant forandring ved at udvide deres foretrukne mål og skifte fokus for deres angreb. Mellem 2017 og 2018 var FIN11 koncentreret om at angribe en smal gruppe enheder, hovedsagelig dem, der arbejder i detail-, finans- og hotelbranchen. Det følgende år viste hackerne imidlertid ingen særlig præference for en industrisektor eller geografisk placering, når de valgte deres ofre, der angreb uden forskel.

Samtidig har hackerne hurtigt tilpasset sig det skiftende landskab af monetiseringstendenser blandt cyberkriminelle aktører. Oprindeligt implementerede FIN11 Point-of-Sale (POS) malware, inden de flyttede til ransomware-angreb. I deres seneste aktivitet, mest i 2020, har gruppen vedtaget hybrid afpresning. Hackerne kompromitterer deres ofre med CLOP Ransomware, men inden processens kryptering påbegyndes, exfiltreres forskellige datatyper fra de målrettede computere til servere under FIN11's kontrol. Ofrene får derefter et vanskeligt valg - betale løsesum til hackerne og forhåbentlig modtage et fungerende dekrypteringsværktøj eller risikere at have potentielt følsomme virksomheds- eller private data lækket online.

For at skabe infrastrukturen, der understøtter deres kriminelle aktivitet, er hackerne fra FIN11 afhængige af adskillige tjenester leveret af underjordiske forhandlere. Disse tjenester kan variere fra hosting til oprettelse af malware-værktøjer, kodesigneringscertifikater og domæneregistrering.

Med deres vilje til at følge de mest populære tendenser inden for cyberangreb, intet særligt fokus på en gruppe mål og demonstreret kapacitet til at udføre flere phishing-angreb på samme tid, kunne FIN11 fortsat være en potent trussel i overskuelig fremtid.