Po aresztowaniu w 2018 r. kilku osób podejrzewanych o kierowanie nies?awnym cybergangiem Fin7/Carbanak s?dzono, ?e grupa ta rozpad?a si?. Jednak wykryto kilka nowych ataków przeprowadzonych przez te same osoby z wykorzystaniem szkodliwego oprogramowania GRIFFON. Eksperci przypuszczaj?, ?e cybergang Fin7 zwi?kszy? liczb? grup dzia?aj?cych pod swoim szyldem, zacz?? stosowa? bardziej wyrafinowane metody, a nawet rekrutowa? profesjonalistów jako firma oferuj?ca ochron?, celem kradzie?y zasobów finansowych.
Fin7 stoi prawdopodobnie za obserwowanymi od po?owy 2015 r. atakami na ameryka?ski sektor detaliczny, restauracyjny oraz turystyczno-hotelarski, podczas których ?ci?le wspó?pracowa? i wspó?dzieli? narz?dzia oraz metody z nies?awnym ugrupowaniem Carbanak. O ile Carbanak koncentrowa? si? przede wszystkim na bankach, Fin7 atakowa? g?ównie firmy, kradn?c miliony dolarów poprzez uzyskiwanie finansowych danych uwierzytelniaj?cych oraz informacji dotycz?cych rachunków z komputerów dzia?ów finansowych. Gdy przest?pcy zdobyli to, co chcieli, przelewali pieni?dze na zagraniczne rachunki.
Z nowego dochodzenia firmy Kaspersky Lab wynika, ?e omawiane ugrupowanie nadal dzia?a mimo aresztowania w zesz?ym roku jego przywódców i w 2018 roku przeprowadza?o wyrafinowane kampanie phishingu ukierunkowanego oraz rozprzestrzenia?o szkodliwe oprogramowanie w?ród swoich ofiar za po?rednictwem specjalnych wiadomo?ci e-mail. Niekiedy cyberprzest?pcy korespondowali z potencjalnymi ofiarami przez kilka tygodni, zanim ostatecznie wys?ali im w za??czniku szkodliwe dokumenty. Szacuje si?, ?e do 2018 r. zaatakowanych w ten sposób mog?o zosta? ponad 130 firm.
Badacze wykryli równie? inne grupy przest?pcze dzia?aj?ce pod szyldem Fin7. Wykorzystywanie tej samej infrastruktury oraz taktyk, technik i procedur ?wiadczy o tym, ?e Fin7 prawdopodobnie wspó?pracuje z botnetem AveMaria oraz grupami CobaltGoblin/EmpireMonkey, które podejrzewa si? o przeprowadzenie cybernapadów na banki w Europie i Ameryce ?rodkowej.
Kaspersky Lab ustali? ponadto, ?e Fin7 utworzy? fikcyjn? firm?, która utrzymuje, ?e jest dostawc? cyberbezpiecze?stwa, i posiada biura w ró?nych lokalizacjach w Rosji. Jej strona internetowa jest zarejestrowana na serwerze wykorzystywanym przez Fin7 jako centrum kontroli. Fikcyjna firma s?u?y?a do rekrutacji nie?wiadomych, pracuj?cych na w?asny rachunek badaczy luk w zabezpieczeniach, twórców programów oraz t?umaczy poprzez legalne internetowe serwisy po?rednictwa pracy. Wygl?da na to, ?e niektóre osoby pracuj?ce w takich fikcyjnych firmach nie mia?y poj?cia, ?e bior? udzia? w dzia?alno?ci przest?pczej, poniewa? zdobyte w nich do?wiadczenie uwzgl?dni?y w swoim CV.
?ród?o: Kaspersky Lab
