Ugrupowanie cyberprzestępcze Fin7 nadal atakuje!

08-05-2019, 17:07

Po aresztowaniu w 2018 r. kilku osób podejrzewanych o kierowanie niesławnym cybergangiem Fin7/Carbanak sądzono, że grupa się rozpadnie. Jednak badacze wykryli kilka nowych ataków przeprowadzonych przez te same osoby z wykorzystaniem szkodliwego oprogramowania GRIFFON. Eksperci przypuszczają, że cybergang Fin7 zwiększył liczbę grup działających pod swoim szyldem.

Fin7 stoi prawdopodobnie za obserwowanymi od połowy 2015 r. atakami na amerykański sektor detaliczny, restauracyjny oraz turystyczno-hotelarski, podczas których ściśle współpracował i współdzielił narzędzia oraz metody z niesławnym ugrupowaniem Carbanak. O ile Carbanak koncentrował się przede wszystkim na bankach, Fin7 atakował głównie firmy, kradnąc miliony dolarów poprzez uzyskiwanie finansowych danych uwierzytelniających oraz informacji dotyczących rachunków z komputerów działów finansowych. Gdy przestępcy zdobyli to, co chcieli, przelewali pieniądze na zagraniczne rachunki.  

Z nowego dochodzenia firmy Kaspersky Lab wynika, że omawiane ugrupowanie nadal działa mimo aresztowania w zeszłym roku jego przywódców i w 2018 r. przeprowadziło wyrafinowane kampanie phishingu ukierunkowanego oraz rozprzestrzeniało szkodliwe oprogramowanie wśród ofiar za pośrednictwem specjalnych wiadomości e-mail. Niekiedy cyberprzestępcy korespondowali z potencjalnymi ofiarami przez kilka tygodni, zanim ostatecznie wysłali im w załączniku szkodliwe dokumenty. Kaspersky Lab szacuje, że do 2018 r. zaatakowanych w ten sposób mogło zostać ponad 130 firm.      

Badacze wykryli również inne grupy przestępcze działające pod szyldem Fin7. Wykorzystywanie tej samej infrastruktury oraz taktyk, technik i procedur świadczy o tym, że Fin7 prawdopodobnie może mieć coś wspólnego z botnetem AveMaria oraz grupami CobaltGoblin/EmpireMonkey, które podejrzewa się o przeprowadzenie cybernapadów na banki w Europie i Ameryce Środkowej.       

Ustalono ponadto, że Fin7 utworzył fikcyjną firmę, która utrzymuje, że jest dostawcą cyberbezpieczeństwa, i posiada biura w różnych lokalizacjach w Rosji. Jej strona internetowa jest zarejestrowana na serwerze wykorzystywanym przez Fin7 jako centrum kontroli. Fikcyjna firma służyła do rekrutacji nieświadomych, pracujących na własny rachunek badaczy luk w zabezpieczeniach, twórców programów oraz tłumaczy poprzez legalne internetowe serwisy pośrednictwa pracy. Wygląda na to, że niektóre osoby pracujące w takich fikcyjnych firmach nie miały pojęcia, że biorą udział w działalności przestępczej, ponieważ zdobyte w nich doświadczenie uwzględniły w swoim CV!          

Źródło: Kaspersky Lab


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2019»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031