FIN11 APT

FIN11 APT je oznaka koja se daje skupini hakera koji su operativni od 2016. Ovu grupu karakteriziraju razdoblja ekstremne aktivnosti u kojima je zapaženo izvođenje do pet kampanja napada u jednom tjednu nakon čega slijede razdoblja kada relativno je u stanju mirovanja. FIN11 ne pokazuje previše sofisticiranosti u svom kompletu alata za zlonamjerni softver ili u postupcima napada, ali to nadoknađuje golim volumenom.

Dok većina sličnih APT grupa ne uspijeva dugo održati svoje postojanje, FIN11 ne samo da je operativan već nekoliko godina, već je prolazio kroz stalne promjene šireći svoje željene ciljeve i mijenjajući fokus svojih napada. Između 2017. i 2018. FIN11 je bio koncentriran na napade na usku skupinu subjekata, uglavnom onih koji rade u maloprodajnom, financijskom i ugostiteljskom sektoru. Međutim, sljedeće godine, hakeri nisu pokazali posebnu prednost industrijskom sektoru ili zemljopisnom položaju kada su birali svoje žrtve koje su napadale neselektivno.

Istodobno, hakeri su se brzo prilagođavali promjenjivom krajoliku trendova monetizacije među akterima cyber kriminalaca. U početku je FIN11 implementirao zlonamjerni softver na prodajnom mjestu (POS) prije nego što je prešao na napade na ransomware. U svojoj nedavnoj aktivnosti, uglavnom 2020. godine, grupa je usvojila hibridnu iznudu. Hakeri kompromitiraju svoje žrtve pomoću CLOP Ransomwarea, ali prije nego što se pokrene enkripcija procesa, razne vrste podataka s ciljanih računala eksfiltriraju se na poslužitelje pod kontrolom FIN11. Žrtvama se tada postavlja težak izbor - platiti otkupninu hakerima i, nadamo se, dobiti radni alat za dešifriranje ili riskirati da potencijalno osjetljivi korporativni ili privatni podaci procure na internetu.

Kako bi stvorili infrastrukturu koja podržava njihovu kriminalnu aktivnost, hakeri iz FIN11 oslanjaju se na brojne usluge koje pružaju podzemni dileri. Te usluge mogu se kretati od hostinga do izrade alata za zlonamjerni softver, certifikata za potpisivanje koda i registracije domene.

Uz njihovu spremnost da slijede najpopularnije trendove u kibernetičkim napadima, bez posebnog fokusa na skupinu meta i demonstriranim kapacitetom za provođenje više phishing napada u isto vrijeme, FIN11 bi mogao ostati snažna prijetnja u doglednoj budućnosti.