FIN11 APT

A FIN11 APT a 2016 óta működő hackerkollektíva elnevezése. Erre a csoportra jellemző az extrém tevékenység időszakai, amikor megfigyelték, hogy egyetlen héten akár öt támadási kampányt hajtanak végre, majd olyan időszakok következnek, amikor viszonylag nyugalmi állapotban van. A FIN11 nem mutat túl sok kifinomultságot a rosszindulatú programok eszköztárában vagy a támadási eljárásaiban, de hatalmas mennyiséggel kárpótol.

Míg a legtöbb hasonló APT-csoport nem tudja sokáig fenntartani létezését, a FIN11 nemcsak évek óta működik, hanem állandó változáson megy keresztül azáltal, hogy kitágította kedvenc célpontjait és megváltoztatta támadásaik fókuszát. 2017 és 2018 között a FIN11 az entitások szűk csoportjának megtámadására koncentrált, főként a kiskereskedelmi, pénzügyi és vendéglátói szektorban dolgozókat. A következő évben azonban a hackerek nem mutattak különösebb előnyt az iparági szektor vagy a földrajzi elhelyezkedés iránt, amikor válogatás nélkül támadták meg áldozataikat.

Ugyanakkor a hackerek gyorsan alkalmazkodtak a kiberbûnözõk körében változó bevételszerzési trendekhez. Kezdetben a FIN11 értékesítési pont (POS) rosszindulatú programokat telepített, mielőtt áttért a zsarolóvírus-támadásokra. Legutóbbi tevékenységük során, többnyire 2020-ban, a csoport átvette a hibrid zsarolást. A hackerek a CLOP Ransomware szoftverrel kompromittálják áldozataikat, de a titkosítás megkezdése előtt a megcélzott számítógépek különféle adattípusait a FIN11 felügyelete alatt álló szerverekre szivárogtatják ki. Az áldozatok ezután nehéz döntés elé néznek – váltságdíjat kell fizetni a hackereknek, és remélhetőleg egy működő dekódoló eszközt kapnak, különben fennáll annak a veszélye, hogy potenciálisan érzékeny vállalati vagy magánadatok szivárognak ki az internetre.

A bűnözői tevékenységüket támogató infrastruktúra létrehozásához a FIN11 hackerei számos földalatti kereskedő által nyújtott szolgáltatásra támaszkodnak. Ezek a szolgáltatások a tárhelyszolgáltatástól a rosszindulatú szoftverek létrehozásáig, a kódaláíró tanúsítványokig és a domain regisztrációjáig terjedhetnek.

Mivel hajlandóak követni a kibertámadások legnépszerűbb trendjeit, nem összpontosítanak különösebben a célpontok csoportjára, és bizonyítottan képesek több adathalász támadást egyszerre végrehajtani, a FIN11 a belátható jövőben is komoly fenyegetést jelenthet.