FIN11 APT

FIN11 APT er betegnelsen som gis til et kollektiv av hackere som har vært operativt siden 2016. Denne spesielle gruppen er karakterisert ved å ha perioder med ekstrem aktivitet der det er observert å gjennomføre opptil fem angrepskampanjer i løpet av en enkelt uke etterfulgt av perioder da den er relativt sovende. FIN11 viser ikke mye sofistikert i verktøysettet for skadevare eller angrepsprosedyrer, men det veier opp for det med stort volum.

Mens de fleste lignende APT-grupper ikke klarer å opprettholde sin eksistens lenge, har FIN11 ikke bare vært operativ i flere år, men den har vært i konstant endring ved å utvide sine foretrukne mål og bytte fokus for angrepene. Mellom 2017 og 2018 var FIN11 konsentrert om å angripe en smal gruppe enheter, hovedsakelig de som jobber i detaljhandel, finans og gjestfrihet. Året etter viste imidlertid hackerne ingen spesiell preferanse for en industrisektor eller geografisk plassering når de valgte ofrene som angrep tilfeldig.

Samtidig har hackerne raskt tilpasset seg det skiftende landskapet med trender for inntektsgenerering blant nettkriminelle aktører. Til å begynne med distribuerte FIN11 Point-of-Sale (POS) malware før han gikk over til løsepenge-angrep. I sin siste aktivitet, for det meste i 2020, har gruppen tatt i bruk hybrid utpressing. Hackerne kompromitterer ofrene sine med CLOP Ransomware, men før prosessens kryptering settes i gang, eksfiltreres ulike datatyper fra de målrettede datamaskinene til servere under FIN11s kontroll. Ofrene blir deretter presentert for et vanskelig valg – betal løsepenger til hackerne og forhåpentligvis motta et fungerende dekrypteringsverktøy eller risikere å få potensielt sensitive bedrifts- eller privatdata lekket på nettet.

For å skape infrastrukturen som støtter deres kriminelle aktivitet, er hackerne fra FIN11 avhengige av en rekke tjenester levert av underjordiske forhandlere. Disse tjenestene kan variere fra hosting til opprettelse av skadevareverktøy, kodesigneringssertifikater og domeneregistrering.

Med deres vilje til å følge de mest populære trendene innen nettangrep, ingen spesiell fokus på en gruppe mål, og demonstrert kapasitet til å utføre flere phishing-angrep samtidig, kan FIN11 forbli en potent trussel i overskuelig fremtid.