КВАРТИРА FIN11

FIN11 APT – це позначення, яке дається групі хакерів, які діють з 2016 року. Для цієї групи характерні періоди екстремальної активності, коли було помічено проведення до п’яти атак протягом одного тижня, а потім періоди, коли він відносно сплячий. FIN11 не демонструє особливої витонченості в своєму наборі інструментів зловмисного програмного забезпечення або процедурах атак, але він компенсує це великим обсягом.

Хоча більшість подібних груп APT не можуть довго підтримувати своє існування, FIN11 не тільки функціонує протягом кількох років, але й постійно змінюється, розширюючи свої бажані цілі та змінюючи фокус своїх атак. У період з 2017 по 2018 рік FIN11 був зосереджений на атаці на вузьку групу організацій, переважно тих, хто працює в секторах роздрібної торгівлі, фінансів та гостинності. Однак наступного року хакери не надали особливої переваги галузевому сектору чи географічному розташуванню, обираючи своїх жертв, атакуючи без розбору.

У той же час хакери швидко адаптувалися до мінливого ландшафту тенденцій монетизації серед кіберзлочинців. Спочатку FIN11 розгорнув зловмисне програмне забезпечення для точки продажу (POS), перш ніж перейти до атак програм-вимагачів. У своїй останній діяльності, переважно у 2020 році, група прийняла гібридне вимагання. Хакери скомпрометують своїх жертв за допомогою CLOP Ransomware, але перш ніж розпочнеться шифрування, різні типи даних із цільових комп’ютерів ексфільтруються на сервери під контролем FIN11. Після цього жертвам ставлять складний вибір – заплатити хакерам викуп і, сподіваюся, отримають працюючий інструмент розшифровки, або ризикують витоком потенційно конфіденційних корпоративних або приватних даних в Інтернеті.

Для створення інфраструктури, яка підтримує свою злочинну діяльність, хакери з FIN11 покладаються на численні послуги підпільних дилерів. Ці послуги можуть варіюватися від хостингу до створення інструментів шкідливого програмного забезпечення, сертифікатів підпису коду та реєстрації домену.

З їхньою готовністю слідувати найпопулярнішим тенденціям у сфері кібератак, без особливого фокусування на групі цілей і продемонстрованою здатністю здійснювати кілька фішингових атак одночасно, FIN11 може залишатися потужною загрозою в осяжному майбутньому.