Cybergang Fin7 wciąż atakuje. Aresztowanie przywódców nie pomogło

Ugrupowanie cyberprzestępcze Fin7 ponownie atakuje z użyciem szkodliwego oprogramowania. Jak informują badacze z Kaspersky Lab, chociaż w ubiegłym roku aresztowano kilka osób podejrzewanych o kierowanie opisywanym gangiem, w praktyce grupa nie rozpadła się.

Kaspersky ostrzega przed działaniami ugrupowania Fin7
Kaspersky ostrzega przed działaniami ugrupowania Fin7
Oskar Ziomek

Najnowsze obserwacje sugerują, że jej działacze nadal są aktywni, na co dowodem mają być kolejne ataki z wykorzystaniem oprogramowania Griffon. Jak wynika z analizy, grupa Fin7 stoi najpewniej za szeregiem ataków obserwowanych od około czterech lat, które wycelowane są w amerykańskie sklepy, sektor restauracyjny oraz turystyczno-hotelarski.

Schemat działania oprogramowania Griffon, źródło: Kaspersky Lab.
Schemat działania oprogramowania Griffon, źródło: Kaspersky Lab.

Zastosowane techniki wskazują na ścisłe powiązanie z innym ugrupowaniem, Carbanak, którego działania koncentrowały się na bankach. Członkowie z Fin7 atakują tymczasem przede wszystkim firmy, a straty są liczone w milionach dolarów.

Chociaż w ubiegłym roku aresztowano osoby odpowiedzialne za kierowanie opisywaną grupą, okazuje się, że jej członkowie dalej są aktywni. Z badań wynika, iż w 2018 roku grupa Fin7 stanęła za kampaniami phishingowymi, rozsyłając do swoich ofiar wiadomości e-mail ze szkodliwym oprogramowaniem. Według szacunków Kaspersky Lab, do 2018 roku w ten sposób zaatakowano ponad 130 firm.

Fin7 to w praktyce więcej przestępców

W praktyce pod nazwą Fin7 ukrywa się kilka mniejszych grup przestępców. Badacze zwracają bowiem uwagę na wspólną infrastrukturę, taktykę i techniki wykorzystywane w pozornie niepowiązanych ze sobą przypadkach. Wszystko wskazuje na to, że Fin7 można więc powiązać także z botnetem AveMaria oraz grupami CobaltGoblin/EmpireMonkey. Są one podejrzewane o napady na banki w Europie i Ameryce Środkowej.

To jednak nie wszystko. Jak informuje Kaspersky Lab, członkowie Fin7 utworzyli także fikcyjną firmę, rzekomo związaną z cyberbezpieczeństwem, której biura były rozlokowane w Rosji. Firma służyła do rekrutacji badaczy luk bezpieczeństwa i twórców programów, którzy nie byli świadomi, iż przyczyniają się do sukcesu działalności przestępczej.

Największe cele ataków botnetu AveMaria, źródło: Kaspersky Lab.
Największe cele ataków botnetu AveMaria, źródło: Kaspersky Lab.

- Współczesne cyberzagrożenia można porównać do mitologicznego stworzenia Hydry lernejskiej – gdy jedna z jej głów zostanie odcięta, wyrastają dwie nowe – tłumaczy Jurij Namiestnikow, badacz ds. cyberbezpieczeństwa z Kaspersky Lab. - Dlatego najlepszym sposobem na zabezpieczenie się przed takimi cyberugrupowaniami jest wykorzystywanie zaawansowanej, wielopoziomowej ochrony...

Jak zwykle w takich sytuacjach, badacze sugerują więc instalować wszystkie poprawki do oprogramowania bez zbędnej zwłoki po ich udostępnieniu oraz przeprowadzać regularną analizę bezpieczeństwa w sieciach, systemach oraz urządzeniach.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (10)