Группа по киберпреступности FIN6 эволюционирует от вредоносных программ POS до вымогателей

Группа по киберпреступности FIN6 эволюционирует от вредоносных программ POS до вымогателей

FireEye: группа FIN6 в настоящее время развертывает версии программ-вымогателей Ryuk и LockerGoga в сетях взломанных компаний, откуда она не может украсть данные POS.

Каталин Чимпану за нулевой день | 8 апреля 2019. 11:52 GMT (04:52 PDT) | Тема: Безопасность

RansomWare и двоичный код, RansomWare Concept Security и атака вредоносных программ.

ransomware.jpg

Группа по киберпреступности FIN6 эволюционирует от вредоносных программ POS до вымогателей

Группа по борьбе с киберпреступностью, известная в основном взломом розничных сетей и кражей данных платежных карт из систем POS, изменила тактику и теперь также развертывает вымогатели в зараженных сетях.

Безопасность

Группа под названием FIN6. имеет репутацию в области кибербезопасности как одна из самых продвинутых групп киберпреступников.

Его деятельность была впервые задокументирована весной 2016 года, когда FireEye опубликовал первый отчет, подробно описывающий его обширные взломы и расширенный арсенал.

В то время группа разработала универсальный штамм вредоносных программ для POS под названием Trinity (также известный как FrameworkPOS). FIN6 взломал бы сети крупных ритейлеров, переместился бы поперек их систем и развернул Trinity на компьютерах, которые обрабатывали данные POS, чтобы извлечь данные платежной карты, которые они позже загрузили бы на свои собственные серверы.

Группа будет зарабатывать деньги, продавая украденные данные платежной карты на хакерских форумах, зарабатывая миллионы долларов США на этом пути.

FIN: развертывание вымогателей с июля 2018 года

Но согласно новому отчету, опубликованному в пятницу, 5 апреля, FireEye, группа теперь также развертывает вымогателей на некоторых из взломанных сетей. на тех, которые не обрабатывают данные POS.

И группа не бросала просто вымогателей. По данным FireEye, с июля 2018 года группа развертывает штаммы вымогателей Ryuk и LockerGoga.

Оба этих штамма оказались в центре волны громких инфекций, которые нанесли вред правительственным учреждениям и крупным компаниям из частного сектора, причем последней жертвой стала Norsk Hydro.

Аналитик Kaspersky говорит, что LockerGoga может быть связан с Grim Spider (создателями вымогателей Ryuk) https://t.co/YimPkGUYic

— Каталин Чимпану (@campuscodi) 28 марта 2019 г.

Согласно предыдущим отчетам CrowdStrike, FireEye, Kryptos Logic, McAfee, IBM и Cybereason, группа, как полагают, работает за пределами России, откуда она арендует инфраструктуру других групп (Emotet и TrickBot) для поиска крупных компаний, которые это позже заразит Тринити, Рюк или LockerGoga.

Ryuk-workflow.png

Группа по киберпреступности FIN6 эволюционирует от вредоносных программ POS до вымогателей

Является ли FIN6 теперь первой группой вымогателей?

В своем последнем отчете о FIN6 FireEye обнаружил и подчеркнул это изменение в тактике. от Trinity до Ryuk / LockerGoga.

Тем не менее, аналитики компании не могли с уверенностью сказать, является ли это в настоящее время основным способом действия группы, или это всего лишь побочный вид деятельности, осуществляемый некоторыми членами группы «независимо от нарушений платежных карт группы».

Но независимо от того, является ли FIN6 в настоящее время первой группой, вымогающей или нет, компаниям и их отделам кибербезопасности необходимо обратить пристальное внимание на эту новую разработку, прочитать недавний отчет FireEye, подробно описывающий новые оперативные тактики группы, и соответствующим образом улучшить их возможности обнаружения, как и любые другие. Наблюдения за некоторыми конкретными инструментами могут также указывать на присутствие этого продвинутого субъекта угрозы в сети компании.

В-третьих, необходимо сосредоточиться на обнаружении часто используемых инструментов, таких как Metasploit, Cobalt Strike и Empire, и таких тактик, как закодированные скрипты PowerShell или логины RDP с длиной ключа: 0. это обязательно. Таким образом вы соберете нескольких актеров. Супер важно, когда актеры пробуют новые полезные нагрузки.