FIN11 APT

FIN11 APT është përcaktimi që i jepet një kolektivi hakerësh që kanë funksionuar që nga viti 2016. Ky grup i veçantë karakterizohet nga periudha të aktivitetit ekstrem ku është vërejtur se ka kryer deri në pesë fushata sulmi brenda një jave të ndjekur nga periudha kur është relativisht i fjetur. FIN11 nuk shfaq shumë sofistikim në paketën e veglave të tij të malware ose në procedurat e sulmit, por e kompenson atë me vëllim të madh.

Ndërsa shumica e grupeve të ngjashme APT dështojnë të mbajnë ekzistencën e tyre për një kohë të gjatë, FIN11 jo vetëm që ka qenë funksional për shumë vite, por ka pësuar ndryshime të vazhdueshme duke zgjeruar objektivat e tyre të preferuar dhe duke ndryshuar fokusin e sulmeve të tyre. Midis 2017 dhe 2018, FIN11 u përqendrua në sulmin e një grupi të ngushtë subjektesh, kryesisht ato që punonin në sektorët e shitjes me pakicë, financiarë dhe të mikpritjes. Megjithatë, vitin e ardhshëm, hakerët nuk treguan asnjë preferencë të veçantë për një sektor të industrisë ose vendndodhjen gjeografike kur zgjidhnin viktimat e tyre që sulmonin pa dallim.

Në të njëjtën kohë, hakerët janë përshtatur me shpejtësi me peizazhin në ndryshim të tendencave të fitimit të parave midis aktorëve kriminalë kibernetikë. Fillimisht, FIN11 vendosi malware të pikës së shitjes (POS) përpara se të kalonte në sulmet e ransomware. Në aktivitetin e tyre të fundit, kryesisht në vitin 2020, grupi ka adoptuar zhvatjen hibride. Hakerët komprometojnë viktimat e tyre me CLOP Ransomware, por përpara se të fillojë kriptimi i procesit, lloje të ndryshme të të dhënave nga kompjuterët e synuar ekzfiltohen në serverë nën kontrollin e FIN11. Viktimave u paraqitet më pas një zgjedhje e vështirë - të paguajnë shpërblim për hakerat dhe shpresojmë të marrin një mjet deshifrues që funksionon ose rrezikojnë të kenë të dhëna potencialisht të ndjeshme të korporatave ose private të rrjedhura në internet.

Për të krijuar infrastrukturën që mbështet aktivitetin e tyre kriminal, hakerët nga FIN11 mbështeten në shërbime të shumta të ofruara nga tregtarët e nëndheshëm. Këto shërbime mund të variojnë nga hostimi deri te krijimi i mjeteve të malware, certifikatat e nënshkrimit të kodit dhe regjistrimi i domenit.

Me gatishmërinë e tyre për të ndjekur tendencat më të njohura në sulmet kibernetike, pa fokus të veçantë në një grup objektivash dhe aftësi të demonstruar për të kryer sulme të shumta phishing në të njëjtën kohë, FIN11 mund të mbetet një kërcënim i fuqishëm për të ardhmen e parashikueshme.