FIN11 APT

FIN11 APT הוא הייעוד שניתן לקולקטיב של האקרים הפועלים מאז 2016. קבוצה מסוימת זו מאופיינת בתקופות של פעילות קיצונית שבהן נצפתה שהיא מבצעת עד חמישה קמפיינים לתקיפה בשבוע אחד ולאחריהן תקופות שבהן הוא רדום יחסית. FIN11 אינו מציג תחכום רב בערכת הכלים של תוכנות זדוניות או בהליכי התקפה, אבל הוא מפצה על כך בנפח גדול.

בעוד שרוב קבוצות ה-APT הדומות לא מצליחות לקיים את קיומן לאורך זמן, FIN11 לא רק פעלה במשך שנים רבות, אלא שהיא עוברת שינוי מתמיד על ידי הרחבת המטרות המועדפות עליהן והחלפת מוקד ההתקפות שלהן. בין 2017 ל-2018, FIN11 התרכז בתקיפת קבוצה צרה של גופים, בעיקר אלו העובדים במגזרי הקמעונאות, הפיננסים והאירוח. עם זאת, בשנה שלאחר מכן, ההאקרים לא הראו העדפה מיוחדת למגזר תעשייתי או מיקום גיאוגרפי כאשר בחרו את הקורבנות שלהם שתוקפים ללא הבחנה.

במקביל, ההאקרים הסתגלו לנוף המשתנה של מגמות מונטיזציה בקרב שחקנים פושעי סייבר במהירות. בתחילה, FIN11 פרסה תוכנות זדוניות בנקודות מכירה (POS) לפני שעבר להתקפות של תוכנות כופר. בפעילותם האחרונה, בעיקר בשנת 2020, הקבוצה אימצה סחיטה היברידית. ההאקרים מתפשרים על קורבנותיהם באמצעות CLOP Ransomware, אך לפני תחילת ההצפנה של התהליך, סוגים שונים של נתונים מהמחשבים הממוקדים עוברים לשרתים בשליטת FIN11. לאחר מכן עומדת בפני הקורבנות בחירה קשה - לשלם כופר להאקרים ובתקווה לקבל כלי פענוח פועל או להסתכן בדליפה של נתונים ארגוניים או פרטיים רגישים.

כדי ליצור את התשתית התומכת בפעילות הפלילית שלהם, ההאקרים מ-FIN11 מסתמכים על שירותים רבים הניתנים על ידי סוחרי מחתרת. שירותים אלו יכולים לנוע בין אירוח ליצירת כלי תוכנה זדוניות, אישורי חתימת קוד ורישום דומיין.

עם נכונותם לעקוב אחר הטרנדים הפופולריים ביותר במתקפות סייבר, ללא התמקדות מיוחדת בקבוצת מטרות ויכולת הוכחה לשאת מספר התקפות דיוג בו-זמנית, FIN11 יכול להישאר איום חזק לעתיד הנראה לעין.