It-relaterad brottslighet grupp FIN6 utvecklas från POS skadliga ransomware

0
150
ransomware.jpg

Den RansomWare och Binär kod, RansomWare Begreppet Säkerhet och Malware attack.

Nawadoln, Getty Images/iStockphoto

×

ransomware.jpg

En it-relaterad brottslighet grupp som är känd främst för dataintrång återförsäljare och stjäla kortinformation från point-of-sale (POS) system har ändrat taktik och är nu också utbyggnaden av ransomware på infekterade nätverk.

Gruppen-som heter FIN6– har ett rykte inom it-säkerhetsområdet för att vara en av de mest avancerade it-kriminella grupper runt.

Dess verksamhet var första dokumenterade under våren 2016, när FireEye publicerat en första rapport med utförliga uppgifter om dess omfattande hacka och avancerade arsenalen.

Vid den tidpunkten hade gruppen utvecklat en mångsidig POS malware stam som heter Trinity (aka FrameworkPOS). FIN6 skulle hacka sig in i nätverk av stora återförsäljare, flytta i sidled över sina system och distribuera Trinity på datorer som hanteras POS-data för att extrahera information om betalkort som de senare skulle ladda upp på deras egna servrar.

Gruppen skulle tjäna pengar genom att sälja dessa stulen kortinformation på hacking forum, vilket gör miljontals dollar längs vägen.

FIN: Distribuera ransomware sedan juli 2018

Men enligt en ny rapport som publicerades den fredag, April 5, FireEye koncernen är nu också utbyggnaden av ransomware på några av de hackade nätverk –på dem som inte hanterar POS-data.

Och den gruppen har inte varit att släppa bara någon typ av ransomware. Enligt FireEye, sedan juli 2018 har gruppen varit distribuera Ryuk och LockerGoga ransomware stammar.

Båda dessa stammar har varit i centrum av en våg av hög profil infektioner som har lamslagit myndigheter och stora företag från den privata sektorn-med det senaste offret är Norsk Hydro.

Enligt tidigare rapporter från CrowdStrike, FireEye, Kryptos Logik, McAfee, IBM, och Cybereason gruppen tros vara att bedriva verksamhet i Ryssland, där det hyr den infrastruktur av andra grupper (Emotet och TrickBot) för att söka efter stora företag som det senare skulle smitta med Trinity, Ryuk, eller LockerGoga.

Ryuk ransomware infection steps

Bild: Kryptos Logik

×

ryuk-arbetsflöde.png

Är FIN6 nu en ransomware-första gruppen?

I sin senaste rapport om FIN6, FireEye såg och lyfte fram denna förändring i taktik-från Trinity för att Ryuk/LockerGoga.

Men företagets analytiker kunde inte säga säkert om detta är nu koncernens huvudsakliga modus operandi, eller om detta är bara en sida-verksamhet som utförs av vissa medlemmar i gruppen “, oberoende av koncernens betalkort överträdelser.”

Men oavsett om FIN6 är nu en ransomware-första gruppen eller inte, företagen och deras it-avdelningar måste betala nära uppmärksamhet till denna nya utveckling, läsa de senaste FireEye rapport om koncernens nya operativa tacticts, och förbättra deras kapacitet att upptäcka detta, som någon iakttagelser av några speciella verktyg kan också tyda på att förekomsten av denna avancerade hot aktör på ett företags nätverk.

Relaterade skadliga program och it-brottslighet täckning:

Över 58,000 Android-användare hade stalkerware installerat på sina telefoner sista yearTrickBot Trojan söker upp svaga mänskliga länkar i företag till vinst från skatt seasonIoT botnet inriktning på ditt företag? Nope. Bara ett barn med en ExploitDB accountBashlite IoT malware uppgradera låter det målet WeMo home automation devicesFacebook stänger grupper som erbjuds phishing tjänster, hackad data för saleHacker gruppen har varit kapning av DNS trafik på D-Link routrar för tre månader Hur Fn hjälper till att bekämpa den globala it-relaterad brottslighet TechRepublicApple bort populär app som i hemlighet stjäla din webbläsare historia CNET

Relaterade Ämnen:

Säkerhet-TV

Hantering Av Data

CXO

Datacenter