FIN11 APT

FIN11 APT è la designazione data a un collettivo di hacker che sono operativi dal 2016. Questo particolare gruppo è caratterizzato da periodi di attività estrema in cui è stato osservato di eseguire fino a cinque campagne di attacco in una sola settimana seguite da periodi in cui è relativamente dormiente. FIN11 non mostra molta sofisticazione nel suo toolkit malware o nelle procedure di attacco, ma lo compensa con un volume enorme.

Sebbene la maggior parte dei gruppi APT simili non riesca a sostenere la propria esistenza a lungo, FIN11 non solo è operativa da diversi anni, ma ha subito continui cambiamenti espandendo i propri obiettivi preferiti e spostando il focus dei loro attacchi. Tra il 2017 e il 2018, FIN11 si è concentrato sull'attacco a un ristretto gruppo di entità, principalmente quelle che lavorano nei settori della vendita al dettaglio, della finanza e dell'ospitalità. Tuttavia, l'anno successivo, gli hacker non hanno mostrato alcuna preferenza particolare per un settore industriale o una posizione geografica nella scelta delle vittime che attaccavano indiscriminatamente.

Allo stesso tempo, gli hacker si sono adattati rapidamente al mutevole panorama delle tendenze di monetizzazione tra gli attori della criminalità informatica. Inizialmente, FIN11 ha distribuito malware POS (Point-of-Sale) prima di passare agli attacchi ransomware. Nella loro recente attività, principalmente nel 2020, il gruppo ha adottato l'estorsione ibrida. Gli hacker compromettono le loro vittime con CLOP Ransomware, ma prima che la crittografia del processo venga avviata, vari tipi di dati dai computer presi di mira vengono esfiltrati sui server sotto il controllo di FIN11. Alle vittime viene quindi presentata una scelta difficile: pagare un riscatto agli hacker e, si spera, ricevere uno strumento di decrittazione funzionante o rischiare di far trapelare online dati aziendali o privati potenzialmente sensibili.

Per creare l'infrastruttura a supporto della loro attività criminale, gli hacker di FIN11 si affidano a numerosi servizi forniti da rivenditori clandestini. Questi servizi possono variare dall'hosting alla creazione di strumenti malware, certificati di firma del codice e registrazione del dominio.

Con la loro volontà di seguire le tendenze più popolari in materia di attacchi informatici, nessuna particolare attenzione su un gruppo di obiettivi e la capacità dimostrata di portare più attacchi di phishing contemporaneamente, FIN11 potrebbe rimanere una potente minaccia per il prossimo futuro.