Cybercrime groep FIN6 evolueert van POS malware te ransomware

De RansomWare en Binaire code, RansomWare Concept Veiligheid en Malware-aanval.

Nawadoln, Getty Images/iStockphoto

×

ransomware.jpg

Een cybercrime groep vooral bekend voor het hacken van retailers en het stelen van creditcardgegevens van point-of-sale (POS) systemen is veranderd van tactiek en is nu ook de implementatie van ransomware op de geïnfecteerde netwerken.

De groep, met de naam FIN6– heeft een reputatie in de cyber-security-veld als een van de meest geavanceerde cyber-criminele groepen rond.

Haar activiteiten werden voor het eerst gedocumenteerd in het voorjaar van 2016, wanneer FireEye publiceerde een eerste overzicht van zijn uitgebreide hacks en geavanceerd arsenaal.

Op het moment dat de groep ontwikkelde een veelzijdig POS malware stam met de naam drie-eenheid (aka FrameworkPOS). FIN6 zou inbreken in de netwerken van de grote retailers, bewegen zijdelings over hun systemen, en het implementeren van Trinity op computers die behandeld POS gegevens te extraheren creditcard die ze later zou uploaden op hun eigen servers.

De groep zou verdienen aan de verkoop van gestolen creditcardgegevens op het hacken van forums, het maken van miljoenen dollars van de v.s. langs de weg.

FIN: de Implementatie van ransomware sinds juli 2018

Maar volgens een nieuw rapport gepubliceerd op vrijdag 5 April door FireEye, de groep is nu ook de implementatie van ransomware op een aantal van de gehackte netwerken –op degenen die niet omgaan met POS-gegevens.

En de groep nog niet laten vallen gewoon elke vorm van ransomware. Volgens FireEye, sinds juli 2018, heeft de groep de implementatie van de Ryuk en LockerGoga ransomware stammen.

Beide stammen hebben in het midden van een golf van high-profile infecties die kreupel overheidsinstellingen en grote bedrijven uit de privé-sector gelijk –met het meest recente slachtoffer wordt Norsk Hydro.

Volgens eerdere rapporten van CrowdStrike, FireEye, Kryptos Logica, McAfee, IBM, en Cybereason, de groep wordt verondersteld om te werken uit Rusland, waar het verhuurt de infrastructuur van de andere groepen (Emotet en TrickBot) om te zoeken voor grote bedrijven die het later zou infecteren met Trinity, Ryuk, of LockerGoga.

Afbeelding: Kryptos Logica

×

ryuk-workflow.png

Is FIN6 nu een ransomware-eerste groep?

In haar meest recente jaarverslag op FIN6, FireEye gespot en gemarkeerd deze wijziging in tactiek –van de drie-eenheid Ryuk/LockerGoga.

Echter, het bedrijf van de analisten konden niet met zekerheid zeggen of dit nu de groep de belangrijkste modus operandi, of als dit is slechts een kant-activiteit uitgevoerd door enkele leden van de groep “onafhankelijk van de groep (payment card overtredingen.”

Maar ongeacht of FIN6 is nu een ransomware-eerste groep of niet, bedrijven en hun cybersecurity-afdelingen nodig hebben om aandacht te besteden aan deze nieuwe ontwikkeling, lees de recente FireEye rapport waarin de groep nieuwe operationele tacticts, en het verbeteren van hun detectie mogelijkheden dienovereenkomstig, als geen waarnemingen van een aantal specifieke instrumenten kan ook duiden op de aanwezigheid van deze geavanceerde bedreiging acteur op een bedrijfsnetwerk.

Gerelateerde malware en cybercriminaliteit dekking:

Over 58,000 Android-gebruikers had stalkerware geïnstalleerd op hun telefoons laatste yearTrickBot Trojan zoekt de zwakke menselijke links in het bedrijfsleven om te profiteren van de fiscale seasonIoT botnet gericht op uw onderneming? Nee. Maar een kind met een ExploitDB accountBashlite IoT malware upgrade kunt het doel WeMo home automation devicesFacebook gesloten groepen die aangeboden phishing diensten, gehackte gegevens voor saleHacker groep is het kapen van DNS-verkeer op de D-Link routers voor drie maanden Hoe de Verenigde Naties helpt bij het bestrijden van de wereldwijde cybercriminaliteit TechRepublicApple verwijderd populaire app die werd stiekem stelen van uw browser geschiedenis CNET

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters