FIN11 APT

FIN11 APT är beteckningen som ges till ett kollektiv av hackare som har varit i drift sedan 2016. Denna speciella grupp kännetecknas av att ha perioder av extrem aktivitet där den har observerats genomföra upp till fem attackkampanjer under en vecka följt av perioder då den är relativt vilande. FIN11 visar inte mycket sofistikering i sin verktygslåda för skadlig programvara eller attackprocedurer, men den kompenserar för det med ren volym.

Medan de flesta liknande APT-grupper misslyckas med att upprätthålla sin existens länge, har FIN11 inte bara varit operativt i flera år, utan den har genomgått ständig förändring genom att utöka sina föredragna mål och byta fokus för sina attacker. Mellan 2017 och 2018 var FIN11 koncentrerad på att attackera en snäv grupp av enheter, mestadels de som arbetar inom detaljhandeln, finanssektorn och hotellsektorn. Men året därpå visade hackarna ingen speciell preferens för en industrisektor eller geografisk plats när de valde sina offer som attackerade urskillningslöst.

Samtidigt har hackarna snabbt anpassat sig till det skiftande landskapet av monetariseringstrender bland cyberkriminella aktörer. Inledningsvis distribuerade FIN11 Point-of-Sale (POS) skadlig programvara innan han gick över till ransomware-attacker. I sin senaste verksamhet, mestadels 2020, har gruppen antagit hybrid utpressning. Hackarna kompromissar med sina offer med CLOP Ransomware, men innan processens kryptering initieras exfiltreras olika datatyper från de riktade datorerna till servrar under FIN11:s kontroll. Offren ställs sedan inför ett svårt val – betala lösensumma till hackarna och förhoppningsvis få ett fungerande dekrypteringsverktyg eller riskerar att få potentiellt känslig företags- eller privatinformation läckt online.

För att skapa den infrastruktur som stödjer deras kriminella verksamhet, förlitar sig hackarna från FIN11 på många tjänster som tillhandahålls av underjordiska återförsäljare. Dessa tjänster kan sträcka sig från hosting till skapandet av skadliga verktyg, kodsigneringscertifikat och domänregistrering.

Med deras vilja att följa de mest populära trenderna inom cyberattacker, inget särskilt fokus på en grupp av mål och visad förmåga att utföra flera nätfiskeattacker samtidigt, kan FIN11 förbli ett potent hot under överskådlig framtid.