FIN11 APT

Ang FIN11 APT ay ang pagtatalaga na ibinigay sa isang kolektibo ng mga hacker na nagpapatakbo mula noong 2016. Ang partikular na grupong ito ay nailalarawan sa pagkakaroon ng mga panahon ng matinding aktibidad kung saan ito ay naobserbahang nagsasagawa ng hanggang limang mga kampanya sa pag-atake sa isang linggo na sinusundan ng mga panahon kung kailan ito ay medyo tulog. Ang FIN11 ay hindi nagpapakita ng labis na pagiging sopistikado sa malware toolkit o mga pamamaraan ng pag-atake nito, ngunit ito ay nakakabawi para dito sa sobrang dami.

Bagama't ang karamihan sa mga katulad na grupo ng APT ay nabigo na mapanatili ang kanilang pag-iral nang matagal, ang FIN11 ay hindi lamang gumagana sa loob ng maraming taon, ngunit ito ay patuloy na sumasailalim sa pagbabago sa pamamagitan ng pagpapalawak ng kanilang mga gustong target at pagpapalit ng pokus ng kanilang mga pag-atake. Sa pagitan ng 2017 at 2018, ang FIN11 ay nakatuon sa pag-atake sa isang makitid na grupo ng mga entity, karamihan sa mga nagtatrabaho sa retail, financial at hospitality sector. Gayunpaman, sa sumunod na taon, ang mga hacker ay hindi nagpakita ng partikular na kagustuhan para sa isang sektor ng industriya o lokasyong heograpikal kapag pinipili ang kanilang mga biktima na umaatake nang walang pinipili.

Kasabay nito, mabilis na umaangkop ang mga hacker sa nagbabagong tanawin ng mga trend ng monetization sa mga cybercriminal na aktor. Sa una, ang FIN11 ay nag-deploy ng Point-of-Sale (POS) malware bago lumipat sa mga pag-atake ng ransomware. Sa kanilang kamakailang aktibidad, karamihan sa 2020, ang grupo ay nagpatibay ng hybrid extortion. Nakompromiso ng mga hacker ang kanilang mga biktima gamit ang CLOP Ransomware, ngunit bago simulan ang pag-encrypt ng proseso, ang iba't ibang uri ng data mula sa mga naka-target na computer ay na-exfiltrate sa mga server sa ilalim ng kontrol ng FIN11. Ang mga biktima ay bibigyan ng isang mahirap na pagpipilian - magbayad ng ransom sa mga hacker at sana ay makatanggap ng isang gumaganang tool sa pag-decryption o panganib na magkaroon ng potensyal na sensitibong corporate o pribadong data na na-leak online.

Upang lumikha ng imprastraktura na sumusuporta sa kanilang kriminal na aktibidad, umaasa ang mga hacker mula sa FIN11 sa maraming serbisyong ibinibigay ng mga underground na dealer. Ang mga serbisyong ito ay maaaring mula sa pagho-host hanggang sa paggawa ng mga tool sa malware, mga certificate sa pag-sign ng code, at pagpaparehistro ng domain.

Sa kanilang pagpayag na sundin ang mga pinakasikat na uso sa cyberattacks, walang partikular na pagtutok sa isang pangkat ng mga target, at nagpakita ng kakayahang magsagawa ng maraming pag-atake sa phishing nang sabay-sabay, ang FIN11 ay maaaring manatiling isang malakas na banta para sa nakikinita na hinaharap.