FIN6 Hacker Group ora utilizza Ryuk e LockerGoga Ransomware
Il gruppo criminale informatico FIN6 è stato recentemente conosciuto solo per hackerare i rivenditori e rubare informazioni di pagamento dai sistemi POS (Point of Sale) fino a poco tempo fa, quando hanno evoluto le loro tattiche per includere implementazione di ransomware per infettare le reti su Internet.
FIN6 ha forgiato la reputazione di essere uno dei gruppi più avanzati di hacker attualmente attivi su Internet. Le loro attività sono state avvistate per la prima volta nella primavera del 2016, con un rapporto di FireEye pubblicato per descrivere ampia gamma di attacchi e capacità schierata dal gruppo di criminali informatici.
Già nel 2016, FIN6 ha sviluppato un malware POS teso chiamato Trinity che possedeva versatilità che gli permetteva di hackerare nelle reti di dettaglianti più importanti, spostandosi attraverso i loro sistemi. Sono riusciti a distribuire Trinity su computer che gestiscono i dati POS di queste attività, estraendo i dati di pagamento e i dettagli delle carte che possono successivamente utilizzare sui propri server.
Il gruppo sta facendo soldi usando questi dati rubati e i dettagli di pagamento sui forum di hacking, usando quello per generare le loro entrate.
Secondo un recente rapporto pubblicato il 5 aprile da FireEye, il gruppo sta ora distribuendo il ransomware su alcune di queste reti compromesse, in particolare quelle che non gestiscono affatto i dati POS.
Il gruppo non stava lavorando per abbandonare le varietà LockerGoga e Ryuk ransomware dal luglio del 2018, con entrambi focalizzati su un ondata di infezioni di alto profilo indirizzate a società di grandi dimensioni, agenzie governative e simili, con Norsk Hydro la vittima più recente.
IBM, CrowdStrike, Kryptos Logic, Cybereason, FireEye e McAfee sono giunti alla conclusione che il gruppo potrebbe operare al di fuori della Russia, da qualche parte dove la loro infrastruttura viene affittata da altri gruppi, come TrickBot ed Emotet . Ciò consente loro di cercare le grandi aziende per infettare con il loro malware di scelta, che si tratti di Ryuk, Trinigy o LockerGoga.
FIN6 è considerato un gruppo Ransomware-First ora?
Nelle relazioni più recenti sulle attività della FIN6, FireEye ha segnalato il cambiamento delle tattiche passando dal uso del malware Trinity al ransomware LockerGoga e Ryuk. Ciò che gli analisti hanno notato, ma non è stato possibile dire con certezza, è se questo è il nuovo modus operandi del gruppo o se alcuni membri del gruppo stanno facendo autonomamente le proprie cose.
Ciononostante, la FIN6 ha fatto in modo che le aziende e i governi dovessero rimanere sempre al loro fianco, soprattutto a causa dei recenti sviluppi.