FIN11 APT

FIN11 APT is de aanduiding die is gegeven aan een collectief van hackers dat sinds 2016 operationeel is. Deze specifieke groep wordt gekenmerkt door periodes van extreme activiteit waarbij is waargenomen dat ze in één week tot vijf aanvalscampagnes hebben uitgevoerd, gevolgd door periodes waarin het is relatief slapend. FIN11 vertoont niet veel verfijning in zijn malwaretoolkit of aanvalsprocedures, maar het compenseert het met een enorm volume.

Hoewel de meeste vergelijkbare APT-groepen hun bestaan niet lang volhouden, is FIN11 niet alleen al meerdere jaren operationeel, maar ondergaat het ook constante veranderingen door hun favoriete doelen uit te breiden en de focus van hun aanvallen te verleggen. Tussen 2017 en 2018 concentreerde FIN11 zich op het aanvallen van een kleine groep entiteiten, voornamelijk degenen die werkzaam waren in de detailhandel, de financiële sector en de horeca. Het jaar daarop toonden de hackers echter geen specifieke voorkeur voor een bedrijfstak of geografische locatie bij het kiezen van hun slachtoffers die lukraak aanvielen.

Tegelijkertijd hebben de hackers zich snel aangepast aan het veranderende landschap van trends in het genereren van inkomsten onder cybercriminelen. Aanvankelijk implementeerde FIN11 Point-of-Sale (POS) -malware voordat het overging op ransomwareaanvallen. In hun recente activiteit, meestal in 2020, heeft de groep hybride afpersing toegepast. De hackers brengen hun slachtoffers in gevaar met CLOP Ransomware, maar voordat de codering van het proces wordt gestart, worden verschillende gegevenstypen van de beoogde computers geëxfiltreerd naar servers die onder controle van FIN11 staan. De slachtoffers krijgen dan een moeilijke keuze voorgeschoteld: losgeld betalen aan de hackers en hopelijk een werkende decoderingstool krijgen, anders riskeren ze dat potentieel gevoelige bedrijfs- of privégegevens online lekken.

Om de infrastructuur te creëren die hun criminele activiteiten ondersteunt, vertrouwen de hackers van FIN11 op tal van diensten van ondergrondse dealers. Deze services kunnen variëren van hosting tot het maken van malwaretools, certificaten voor het ondertekenen van code en domeinregistratie.

Met hun bereidheid om de meest populaire trends in cyberaanvallen te volgen, geen specifieke focus op een groep doelwitten en hun bewezen vermogen om meerdere phishing-aanvallen tegelijk uit te voeren, zou FIN11 in de nabije toekomst een krachtige bedreiging kunnen blijven.