После ареста в 2018 г. предполагаемых лидеров известной кибергруппировки Fin7/Carbanak их атаки, как ожидалось, должны были пойти на спад. Однако эксперты обнаружили несколько новых инцидентов, за которыми стояли злоумышленники именно из этой группы. Более того, методы атак Fin7 усложнились. Также специалисты «Лаборатории Касперского» полагают, что Fin7 могла увеличить число атакующих групп, работающих под её «зонтичным брендом», и с большой вероятностью продолжила практику найма сотрудников под видом вполне официального секьюрити-вендора.

Fin7 активна с середины 2015 г. Группировка подозревается в атаках на американские компании из сегмента ритейла, а также ресторанно-гостиничного бизнеса. Она активно сотрудничает с известной группой Carbanak: злоумышленники обмениваются инструментами и методами атак. Преступников из Fin7 интересует, прежде всего, финансовая информация – например, данные о платёжных картах или для доступа к компьютерам финансовых департаментов. Получив необходимые сведения, злоумышленники крадут деньги и переводят их на оффшорные счета.

Как показало расследование, группировка Fin7 не думает сворачивать свою активность даже после ареста её лидеров. Напротив, на протяжении всего 2018 г. злоумышленники активно рассылали вредоносное ПО посредством сложных кампаний целенаправленного фишинга. В некоторых случаях атакующие вели переписку с жертвами на протяжении нескольких недель, прежде чем выслать им вредоносное вложение в одном из писем. По оценкам «Лаборатории Касперского», к концу 2018 г. Fin7 атаковала подобным образом более 130 компаний.

Помимо этого, эксперты обнаружили несколько отдельных групп киберзлоумышленников, которые так или иначе участвуют в операциях Fin7. Например, совместная инфраструктура и использование одних и тех же тактик, техник и процедур говорят о том, что Fin7 с большой долей вероятности сотрудничает с организаторами ботнета AveMaria и группой CobaltGoblin/ EmpireMonkey, стоящей за банковскими киберограблениями в Европе и Центральной Америке.

Источник: ko.com.ua