FIN11 APT

FIN11 APT ist die Bezeichnung für ein Kollektiv von Hackern, die seit 2016 im Einsatz sind. Diese bestimmte Gruppe zeichnet sich durch Perioden extremer Aktivität aus, in denen bis zu fünf Angriffskampagnen in einer Woche durchgeführt wurden, gefolgt von Perioden, in denen es ist relativ ruhend. FIN11 zeigt in seinem Malware-Toolkit oder seinen Angriffsverfahren nicht viel Raffinesse, macht dies aber mit schierem Volumen wieder wett.

Während die meisten ähnlichen APT-Gruppen ihre Existenz nicht lange aufrechterhalten können, ist FIN11 nicht nur seit mehreren Jahren einsatzbereit, sondern es wurde ständig geändert, indem ihre bevorzugten Ziele erweitert und der Schwerpunkt ihrer Angriffe verschoben wurden. Zwischen 2017 und 2018 konzentrierte sich FIN11 auf den Angriff auf eine enge Gruppe von Unternehmen, hauptsächlich im Einzelhandel, im Finanzwesen und im Gastgewerbe. Im folgenden Jahr zeigten die Hacker jedoch keine besondere Präferenz für einen Industriesektor oder einen geografischen Standort, wenn sie ihre Opfer wahllos angriffen.

Gleichzeitig haben sich die Hacker schnell an die sich wandelnde Landschaft der Monetarisierungstrends unter Cyberkriminellen angepasst. Zunächst stellte FIN11 POS-Malware (Point-of-Sale) bereit, bevor Ransomware-Angriffe durchgeführt wurden. In ihrer jüngsten Tätigkeit, hauptsächlich im Jahr 2020, hat die Gruppe hybride Erpressung eingeführt. Die Hacker gefährden ihre Opfer mit CLOP Ransomware, aber bevor die Verschlüsselung des Prozesses eingeleitet wird, werden verschiedene Datentypen von den Zielcomputern auf Server unter der Kontrolle von FIN11 exfiltriert. Den Opfern steht dann eine schwierige Wahl bevor - zahlen Sie Lösegeld an die Hacker und erhalten hoffentlich ein funktionierendes Entschlüsselungstool oder das Risiko, dass potenziell sensible Unternehmens- oder private Daten online verloren gehen.

Um die Infrastruktur für ihre kriminellen Aktivitäten zu schaffen, verlassen sich die Hacker von FIN11 auf zahlreiche Dienste, die von Untergrundhändlern bereitgestellt werden. Diese Dienste können vom Hosting über die Erstellung von Malware-Tools, Codesignaturzertifikaten bis hin zur Domainregistrierung reichen.

Mit ihrer Bereitschaft, den beliebtesten Trends bei Cyberangriffen zu folgen, sich nicht besonders auf eine Gruppe von Zielen zu konzentrieren und nachweislich mehrere Phishing-Angriffe gleichzeitig ausführen zu können, könnte FIN11 auf absehbare Zeit eine potenzielle Bedrohung bleiben.