FIN11 APT

FIN11 APT to oznaczenie nadawane zbiorowi hakerów, którzy działają od 2016 roku. Ta konkretna grupa charakteryzuje się okresami ekstremalnej aktywności, w których zaobserwowano przeprowadzanie do pięciu kampanii ataków w ciągu jednego tygodnia, po których następują okresy, w których jest stosunkowo uśpiony. FIN11 nie wykazuje zbytniego wyrafinowania w swoim zestawie narzędzi do złośliwego oprogramowania lub procedurach ataku, ale nadrabia to samą głośnością.

Podczas gdy większość podobnych grup APT nie utrzymuje swojego istnienia przez długi czas, FIN11 nie tylko działa od wielu lat, ale podlega ciągłym zmianom, rozszerzając preferowane cele i zmieniając punkt ciężkości ataków. W latach 2017-2018 FIN11 koncentrował się na atakowaniu wąskiej grupy podmiotów, głównie działających w sektorach handlu detalicznego, finansów i hotelarstwa. Jednak w następnym roku hakerzy nie wykazywali szczególnych preferencji dla sektora przemysłowego ani lokalizacji geograficznej, wybierając swoje ofiary atakujące bezkrytycznie.

Jednocześnie hakerzy szybko dostosowują się do zmieniającego się krajobrazu trendów monetyzacji wśród cyberprzestępców. Początkowo FIN11 wdrożył złośliwe oprogramowanie do punktów sprzedaży (POS), zanim przeszło na ataki ransomware. W swojej ostatniej działalności, głównie w 2020 roku, grupa przyjęła wymuszenie hybrydowe. Hakerzy kompromitują swoje ofiary za pomocą CLOP Ransomware, ale przed zainicjowaniem procesu szyfrowania różne typy danych z docelowych komputerów są eksfiltrowane na serwery pod kontrolą FIN11. Ofiary stają następnie przed trudnym wyborem – zapłać okup hakerom i miejmy nadzieję, że otrzymają działające narzędzie do deszyfrowania, lub zaryzykuj wyciek potencjalnie wrażliwych danych korporacyjnych lub prywatnych online.

W celu stworzenia infrastruktury wspierającej swoją przestępczą działalność hakerzy z FIN11 polegają na licznych usługach tajnych dealerów. Usługi te mogą obejmować hosting, tworzenie narzędzi złośliwego oprogramowania, certyfikaty podpisywania kodu i rejestrację domeny.

Dzięki swojej gotowości do śledzenia najpopularniejszych trendów w cyberatakach, braku szczególnej koncentracji na grupie celów i wykazanej zdolności do przeprowadzania wielu ataków phishingowych w tym samym czasie, FIN11 może pozostać poważnym zagrożeniem w dającej się przewidzieć przyszłości.