FIN11 APT

FIN11 APT on tähis häkkerite kollektiivile, mis on tegutsenud alates 2016. aastast. Seda konkreetset rühma iseloomustavad äärmuslikud perioodid, mille jooksul on täheldatud kuni viie ründekampaania läbiviimist ühe nädala jooksul, millele järgnevad perioodid see on suhteliselt uinunud. FIN11 ei näita oma pahavara tööriistakomplekti ega ründeprotseduuride osas palju keerukust, kuid see korvab selle tohutu mahuga.

Kuigi enamik sarnaseid APT rühmitusi ei suuda oma olemasolu pikka aega säilitada, ei ole FIN11 tegutsenud mitte ainult mitu aastat, vaid see on pidevalt muutunud, laiendades eelistatud sihtmärke ja muutes rünnakute fookust. Aastatel 2017–2018 keskendus FIN11 kitsa üksuste, peamiselt jaemüügi-, finants- ja hotellindussektoris tegutsevate üksuste ründamisele. Järgmisel aastal aga ei eelistanud häkkerid valimatult rünnatavaid ohvreid valides tööstusharu ega geograafilist asukohta.

Samal ajal on häkkerid kiiresti kohanenud küberkurjategijate monetiseerimise suundumuste muutuva maastikuga. Esialgu juurutas FIN11 enne lunavararünnakutele üleminekut müügikoha (POS) pahavara. Oma hiljutises tegevuses, enamasti 2020. aastal, on rühmitus võtnud kasutusele hübriidväljapressimise. Häkkerid kompromiteerivad oma ohvreid CLOP Ransomware'iga, kuid enne protsessi krüptimise alustamist eksfiltreeritakse sihitud arvutitest erinevad andmetüübid FIN11 kontrolli all olevatesse serveritesse. Seejärel tehakse ohvritele raske valik – maksta häkkeritele lunaraha ja loodetavasti saavad nad töötava dekrüpteerimistööriista, vastasel juhul on oht, et potentsiaalselt tundlikud ettevõtte- või eraandmed võivad võrku lekkida.

Oma kriminaalset tegevust toetava infrastruktuuri loomiseks toetuvad FIN11 häkkerid arvukatele maa-aluste edasimüüjate teenustele. Need teenused võivad ulatuda hostimisest pahavara tööriistade loomiseni, koodi allkirjastamise sertifikaatide ja domeeni registreerimiseni.

Kuna FIN11 on valmis järgima kõige populaarsemaid küberrünnakute suundumusi, ei keskendu erilist sihtmärkide rühmale ja demonstreeris suutlikkust läbi viia mitu andmepüügirünnakut korraga, võib FIN11 lähitulevikus jääda tugevaks ohuks.