FIN11 APT

FIN11 APT on nimitys hakkereiden ryhmälle, joka on toiminut vuodesta 2016. Tälle nimenomaiselle ryhmälle on ominaista äärimmäisen aktiivisuuden jaksot, jolloin sen on havaittu suorittavan jopa viisi hyökkäyskampanjaa yhden viikon aikana, joita seuraa jaksoja, se on suhteellisen lepotilassa. FIN11 ei näytä paljon hienostuneisuutta haittaohjelmien työkalupakkissaan tai hyökkäysmenetelmissään, mutta se korvaa sen suurella määrällä.

Vaikka useimmat samankaltaiset APT-ryhmät eivät kestä olemassaoloaan pitkään, FIN11 ei ole vain toiminut useiden vuosien ajan, vaan se on muuttunut jatkuvasti laajentamalla suosikkikohteitaan ja vaihtamalla hyökkäysten painopistettä. Vuosina 2017–2018 FIN11 keskittyi hyökkäämään kapeaan kokonaisuuteen, pääasiassa vähittäis-, rahoitus- ja ravintola-alalla toimiviin. Seuraavana vuonna hakkerit eivät kuitenkaan osoittaneet erityistä etusijaa toimialalle tai maantieteelliselle sijainnille valitessaan uhrejaan hyökkäämään umpimähkäisesti.

Samaan aikaan hakkerit ovat sopeutuneet nopeasti kyberrikollisten toimijoiden monetisointitrendien muuttuviin maisemiin. Aluksi FIN11 otti käyttöön Point-of-Sale (POS) -haittaohjelman ennen siirtymistään kiristysohjelmahyökkäuksiin. Viimeaikaisessa toiminnassaan, enimmäkseen vuonna 2020, ryhmä on ottanut käyttöön hybridikiristyksen. Hakkerit vaarantavat uhrinsa CLOP Ransomware -ohjelmalla, mutta ennen kuin prosessin salaus käynnistyy, eri tietotyypit kohdetietokoneilta suodatetaan FIN11:n hallinnassa oleville palvelimille. Uhrien edessä on sitten vaikea valinta - maksaa lunnaita hakkereille ja toivottavasti he saavat toimivan salauksenpurkutyökalun tai vaarana on, että mahdollisesti arkaluontoista yritys- tai yksityistietoa pääsee vuotamaan verkkoon.

Rikollista toimintaansa tukevan infrastruktuurin luomiseksi FIN11:n hakkerit luottavat lukuisiin maanalaisten jälleenmyyjien palveluihin. Nämä palvelut voivat vaihdella isännöinnistä haittaohjelmatyökalujen luomiseen, koodin allekirjoitusvarmenteisiin ja verkkotunnuksen rekisteröintiin.

Koska FIN11 on halukas seuraamaan suosituimpia kyberhyökkäystrendejä, ei keskittymään mihinkään kohderyhmään, ja osoittanut kykynsä suorittaa useita phishing-hyökkäyksiä samanaikaisesti, FIN11 voi säilyä vahvana uhkana myös lähitulevaisuudessa.