FIN11 APT

FIN11 APT ialah sebutan yang diberikan kepada kolektif penggodam yang telah beroperasi sejak 2016. Kumpulan khusus ini dicirikan oleh mempunyai tempoh aktiviti melampau di mana ia telah diperhatikan menjalankan sehingga lima kempen serangan dalam satu minggu diikuti dengan tempoh apabila ia agak tidak aktif. FIN11 tidak memaparkan banyak kecanggihan dalam kit alat perisian hasad atau prosedur serangannya, tetapi ia mengimbanginya dengan jumlah yang besar.

Walaupun kebanyakan kumpulan APT yang serupa gagal untuk mengekalkan kewujudan mereka untuk tempoh yang lama, FIN11 bukan sahaja telah beroperasi selama beberapa tahun, tetapi ia telah mengalami perubahan berterusan dengan mengembangkan sasaran pilihan mereka dan menukar fokus serangan mereka. Antara 2017 dan 2018, FIN11 tertumpu pada menyerang kumpulan entiti yang sempit, kebanyakannya mereka yang bekerja dalam sektor runcit, kewangan dan hospitaliti. Walau bagaimanapun, pada tahun berikutnya, penggodam tidak menunjukkan keutamaan tertentu untuk sektor industri atau lokasi geografi apabila memilih mangsa mereka menyerang secara sembarangan.

Pada masa yang sama, penggodam telah menyesuaikan diri dengan perubahan landskap trend pengewangan dalam kalangan penjenayah siber dengan pantas. Pada mulanya, FIN11 menggunakan perisian hasad Point-of-Sale (POS) sebelum beralih kepada serangan perisian tebusan. Dalam aktiviti terbaru mereka, kebanyakannya pada tahun 2020, kumpulan itu telah menggunakan pemerasan hibrid. Penggodam menjejaskan mangsa mereka dengan CLOP Ransomware, tetapi sebelum penyulitan proses dimulakan, pelbagai jenis data daripada komputer yang disasarkan dieksfiltrasi ke pelayan di bawah kawalan FIN11. Mangsa kemudiannya dibentangkan dengan pilihan yang sukar - bayar wang tebusan kepada penggodam dan diharapkan menerima alat penyahsulitan yang berfungsi atau berisiko mempunyai data korporat atau persendirian yang berpotensi sensitif bocor dalam talian.

Untuk mencipta infrastruktur yang menyokong aktiviti jenayah mereka, penggodam dari FIN11 bergantung pada pelbagai perkhidmatan yang disediakan oleh peniaga bawah tanah. Perkhidmatan ini boleh terdiri daripada pengehosan kepada penciptaan alat perisian hasad, sijil menandatangani kod dan pendaftaran domain.

Dengan kesediaan mereka untuk mengikuti aliran paling popular dalam serangan siber, tiada tumpuan khusus pada sekumpulan sasaran, dan menunjukkan keupayaan untuk menjalankan berbilang serangan pancingan data pada masa yang sama, FIN11 boleh kekal sebagai ancaman yang kuat untuk masa hadapan yang boleh dijangka.