FIN11 APT

FIN11 APT este denumirea dată unui colectiv de hackeri care sunt operaționali din 2016. Acest grup particular se caracterizează prin perioade de activitate extremă în care s-a observat desfășurarea de până la cinci campanii de atac într-o singură săptămână, urmate de perioade în care este relativ latent. FIN11 nu arată prea multă sofisticare în setul său de instrumente malware sau în procedurile de atac, dar îl compensează cu un volum absolut.

În timp ce majoritatea grupurilor APT similare nu reușesc să-și susțină existența pentru mult timp, FIN11 nu numai că a fost operațional de mulți ani, dar a suferit o schimbare constantă prin extinderea țintelor lor preferate și schimbarea focalizării atacurilor lor. Între 2017 și 2018, FIN11 s-a concentrat pe atacarea unui grup restrâns de entități, în principal cele care lucrează în sectoarele de retail, financiar și ospitalitate. Cu toate acestea, în anul următor, hackerii nu au arătat o preferință specială pentru un sector industrial sau locație geografică atunci când și-au ales victimele care atacau fără discriminare.

În același timp, hackerii s-au adaptat rapid la peisajul în schimbare al tendințelor de monetizare în rândul actorilor criminali cibernetici. Inițial, FIN11 a implementat malware Point-of-Sale (POS) înainte de a trece la atacurile ransomware. În activitatea lor recentă, mai ales în 2020, grupul a adoptat extorcarea hibridă. Hackerii își compromit victimele cu CLOP Ransomware, dar înainte de a începe criptarea procesului, diferite tipuri de date de la computerele vizate sunt exfiltrate pe serverele aflate sub controlul FIN11. Victimelor li se prezintă apoi o alegere dificilă - să plătească răscumpărare hackerilor și, sperăm, să primească un instrument de decriptare funcțional sau riscul ca date corporative sau private potențial sensibile să fie scurse online.

Pentru a crea infrastructura care să le susțină activitatea criminală, hackerii de la FIN11 se bazează pe numeroase servicii oferite de dealeri underground. Aceste servicii pot varia de la găzduire până la crearea de instrumente malware, certificate de semnare a codului și înregistrarea domeniului.

Având dorința lor de a urma cele mai populare tendințe în ceea ce privește atacurile cibernetice, fără un accent deosebit pe un grup de ținte și capacitatea demonstrată de a efectua mai multe atacuri de phishing în același timp, FIN11 ar putea rămâne o amenințare puternică pentru viitorul previzibil.