FIN11 АПТ

FIN11 APT — это обозначение, присвоенное группе хакеров, которые действуют с 2016 года. Эта конкретная группа характеризуется наличием периодов чрезвычайной активности, когда было замечено проведение до пяти атак в течение одной недели, за которыми следовали периоды, когда это относительно бездействующий. FIN11 не отличается изощренностью в наборе вредоносных программ или процедурах атаки, но компенсирует это огромным объемом.

В то время как большинству подобных APT-групп не удается продержаться долго, FIN11 не только работает уже несколько лет, но и претерпевает постоянные изменения, расширяя свои предпочтительные цели и меняя фокус своих атак. В период с 2017 по 2018 год FIN11 был сосредоточен на атаках узкой группы организаций, в основном работающих в розничном, финансовом и гостиничном секторах. Однако в следующем году хакеры не отдавали особого предпочтения какой-либо отрасли или географическому местоположению при выборе своих жертв для атак без разбора.

В то же время хакеры быстро адаптировались к изменяющимся тенденциям монетизации среди киберпреступников. Первоначально FIN11 развертывала вредоносное ПО для точек продаж (POS), а затем перешла к атакам программ-вымогателей. В своей недавней деятельности, в основном в 2020 году, группа использовала гибридное вымогательство. Хакеры компрометируют своих жертв с помощью CLOP Ransomware, но до того, как процесс шифрования будет инициирован, различные типы данных с целевых компьютеров передаются на серверы, находящиеся под контролем FIN11. Затем перед жертвами встает трудный выбор: заплатить хакерам выкуп и, надеюсь, получить рабочий инструмент для расшифровки, или рисковать утечкой потенциально конфиденциальных корпоративных или личных данных в Интернете.

Чтобы создать инфраструктуру, поддерживающую их преступную деятельность, хакеры из FIN11 полагаются на многочисленные услуги, предоставляемые подпольными дилерами. Эти услуги могут варьироваться от хостинга до создания вредоносных инструментов, сертификатов подписи кода и регистрации домена.

С их готовностью следовать самым популярным тенденциям кибератак, отсутствием особого внимания к группе целей и продемонстрированной способностью проводить несколько фишинговых атак одновременно, FIN11 может оставаться серьезной угрозой в обозримом будущем.