FIN11 APT

Το FIN11 APT είναι ο χαρακτηρισμός που δίνεται σε μια ομάδα χάκερ που λειτουργεί από το 2016. Η συγκεκριμένη ομάδα χαρακτηρίζεται από περιόδους ακραίας δραστηριότητας όπου έχει παρατηρηθεί ότι πραγματοποιεί έως και πέντε εκστρατείες επίθεσης σε μία εβδομάδα ακολουθούμενες από περιόδους κατά τις οποίες είναι σχετικά αδρανής. Το FIN11 δεν εμφανίζει μεγάλη πολυπλοκότητα στην εργαλειοθήκη κακόβουλου λογισμικού ή στις διαδικασίες επίθεσης, αλλά το αναπληρώνει με τεράστιο όγκο.

Ενώ οι περισσότερες παρόμοιες ομάδες APT αποτυγχάνουν να διατηρήσουν την ύπαρξή τους για μεγάλο χρονικό διάστημα, το FIN11 όχι μόνο λειτουργεί εδώ και πολλά χρόνια, αλλά υφίσταται συνεχείς αλλαγές επεκτείνοντας τους στόχους που προτιμούν και αλλάζοντας το επίκεντρο των επιθέσεών τους. Μεταξύ 2017 και 2018, το FIN11 επικεντρώθηκε στην επίθεση σε μια στενή ομάδα οντοτήτων, κυρίως εκείνων που εργάζονται στους τομείς του λιανικού εμπορίου, του χρηματοοικονομικού και της φιλοξενίας. Ωστόσο, το επόμενο έτος, οι χάκερ δεν έδειξαν ιδιαίτερη προτίμηση σε έναν κλάδο ή γεωγραφική τοποθεσία όταν επέλεξαν τα θύματά τους να επιτίθενται αδιακρίτως.

Ταυτόχρονα, οι χάκερ προσαρμόστηκαν γρήγορα στο μεταβαλλόμενο τοπίο των τάσεων δημιουργίας εσόδων μεταξύ των παραγόντων του κυβερνοεγκλήματος. Αρχικά, το FIN11 ανέπτυξε κακόβουλο λογισμικό Point-of-Sale (POS) πριν προχωρήσει σε επιθέσεις ransomware. Στην πρόσφατη δραστηριότητά τους, κυρίως το 2020, ο όμιλος έχει υιοθετήσει τον υβριδικό εκβιασμό. Οι χάκερ συμβιβάζουν τα θύματά τους με το CLOP Ransomware, αλλά πριν ξεκινήσει η κρυπτογράφηση της διαδικασίας, διάφοροι τύποι δεδομένων από τους στοχευμένους υπολογιστές διοχετεύονται σε διακομιστές υπό τον έλεγχο του FIN11. Στη συνέχεια, τα θύματα αντιμετωπίζουν μια δύσκολη επιλογή - πληρώνουν λύτρα στους χάκερ και ελπίζουμε να λάβουν ένα λειτουργικό εργαλείο αποκρυπτογράφησης ή κινδυνεύουν να διαρρεύσουν στο διαδίκτυο δυνητικά ευαίσθητα εταιρικά ή ιδιωτικά δεδομένα.

Για να δημιουργήσουν την υποδομή που υποστηρίζει την εγκληματική τους δραστηριότητα, οι χάκερ από το FIN11 βασίζονται σε πολυάριθμες υπηρεσίες που παρέχονται από υπόγειους αντιπροσώπους. Αυτές οι υπηρεσίες μπορούν να κυμαίνονται από τη φιλοξενία έως τη δημιουργία εργαλείων κακόβουλου λογισμικού, πιστοποιητικά υπογραφής κώδικα και εγγραφή τομέα.

Με την προθυμία τους να ακολουθήσουν τις πιο δημοφιλείς τάσεις στις κυβερνοεπιθέσεις, χωρίς ιδιαίτερη εστίαση σε μια ομάδα στόχων και αποδεδειγμένη ικανότητα να πραγματοποιούν πολλαπλές επιθέσεις phishing ταυτόχρονα, το FIN11 θα μπορούσε να παραμείνει ισχυρή απειλή για το άμεσο μέλλον.