It-kriminalitet gruppe FIN6 udvikler sig fra POS malware, ransomware

0
168
ransomware.jpg

RansomWare og Binær kode, RansomWare Begrebet Sikkerhed og Malware-angreb.

Nawadoln, Getty Images/iStockphoto

×

ransomware.jpg

En cyberkriminalitet gruppe primært kendt for hacking, detailhandlere og stjæle betalingskort fra point-of-sale (POS) systemer har ændret taktik, og er nu også implementering af ransomware på inficerede netværk.

Gruppen –opkaldt FIN6– har et ry i cyber-sikkerhed i området for at være en af de mest avanceret cyber-kriminelle grupper rundt omkring.

Dens aktiviteter var de første, der er dokumenteret i foråret 2016, når FireEye offentliggjort en første rapport beskriver dens omfattende hacks og avanceret arsenal.

På det tidspunkt havde gruppen udviklet en alsidig POS malware stamme hedder Trinity (aka FrameworkPOS). FIN6 ville hacke sig ind i de netværk af store detailhandlere, bevæge sig lateralt på tværs af deres systemer, og indsætte Trinity på computere, der håndteres POS-data til at udtrække betalingskortoplysninger, at de vil senere uploade på deres egne servere.

Den gruppe vil tjene penge ved at sælge disse stjålne betalingskort på hacking fora, gør millioner af US dollars undervejs.

FIN: Implementering af ransomware siden juli 2018

Men ifølge en ny rapport, der blev offentliggjort fredag, April 5, ved FireEye, gruppen er nu også implementering af ransomware på nogle af de hackede netværk-på dem, der ikke håndtere POS-data.

Og gruppen har ikke været at droppe alle former for ransomware. Ifølge FireEye, siden juli 2018, gruppen har været implementering af Ryuk og LockerGoga ransomware stammer.

Begge disse stammer har været i centrum for en bølge af high-profil infektioner, der har lammet, offentlige institutioner og store virksomheder fra den private sektor-med den seneste offer er Norsk Hydro.

Ifølge tidligere rapporter fra CrowdStrike, FireEye, Kryptos Logik, McAfee, IBM, og Cybereason, den gruppe, der menes at være i drift ud af Rusland, hvor det har lejet infrastruktur af andre grupper (Emotet og TrickBot) for at søge i store virksomheder, at det senere ville inficere med Trinity, Ryuk, eller LockerGoga.

Ryuk ransomware infection steps

Billede: Kryptos Logik

×

ryuk-workflow.png

Er FIN6 nu en ransomware-første gruppe?

I sin seneste rapport om FIN6, FireEye spottet og fremhævet denne ændring i taktik-fra Trinity til at Ryuk/LockerGoga.

Men selskabets analytikere kunne ikke sige med sikkerhed, hvis denne er nu koncernens største modus operandi, eller hvis det er bare en side-virksomhed, som udføres af nogle af gruppens medlemmer “uafhængigt af koncernens betalingskort brud.”

Men uanset, hvis FIN6 er nu en ransomware-første gruppe, eller ikke, at virksomheder og deres cybersecurity afdelinger nødt til at være meget opmærksomme på denne nye udvikling, skal du læse de seneste FireEye rapport beskriver koncernens nye operationelle tacticts, og forbedre deres opdagelse kapaciteter i overensstemmelse hermed, som nogen observationer af nogle af de særlige værktøjer, der kan også indikere tilstedeværelsen af denne avancerede trussel skuespiller på en virksomheds netværk.

Relaterede malware og it-kriminalitet dækning:

Over 58,000 Android-brugere havde stalkerware installeret på deres telefoner i sidste yearTrickBot Trojan opsøger svage menneskelige forbindelser i erhvervslivet til profit fra skat seasonIoT botnet rettet mod din virksomhed? Nope. Bare en knægt med en ExploitDB accountBashlite IoT malware opgradering lader det mål WeMo home automation devicesFacebook lukker grupper, der tilbydes phishing-tjenester, hacket data for saleHacker gruppe har været kapring DNS trafik på D-Link routere til tre måneder, Hvor de Forenede Nationers hjælper med at bekæmpe globale it-kriminalitet TechRepublicApple fjernet populære app, der blev hemmeligt at stjæle din browser historie CNET

Relaterede Emner:

Sikkerhed-TV

Data Management

CXO

Datacentre