Η εγκληματική cyberteam FIN6, η οποία μέχρι τώρα εξειδικευόταν στο να χακάρει συστήματα POS (Point of Sale) και να κλέβει πληροφορίες από τις κάρτες των πελατών διαφόρων καταστημάτων, φαίνεται πως αποφάσισε να αλλάξει τακτική.
Η ομάδα, η οποία είναι γνωστή για τις επιθέσεις της σε συστήματα ασφαλείας, έχει στρέψει τώρα την προσοχή της στο να χακάρει και να διανέμει ransomware σε δίκτυα.
Πρώτη η FireEye ήταν εκείνη που εντόπισε και δημοσίευσε μία έκθεση, την άνοιξη του 2016, σχετικά με τις εκτεταμένες επιθέσεις και το προηγμένο «οπλοστάσιο» της ομάδας.
Εκείνη την εποχή, η FIN6 είχε αναπτύξει ένα ευπροσάρμοστο κακόβουλο στέλεχος για POS συστήματα, με το όνομα Trinity (γνωστό και ως FrameworkPOS). Η ομάδα μπορούσε να εισέλθει στα δίκτυα μεγάλων εμπορικών καταστημάτων, να κινηθεί πλευρικά μέσω των συστημάτων τους και να εγκαταστήσει το Trinity σε υπολογιστές που χειρίζονταν δεδομένα POS, προκειμένου να αποσπάσουν τα στοιχεία της κάρτας πληρωμής που αργότερα μεταφόρτωναν στους δικούς τους servers.
Στη συνέχεια η ομάδα πουλούσε τα κλεμμένα στοιχεία των καρτών σε φόρουμ hacking, αποκτώντας έτσι εκατομμύρια δολάρια.
Ωστόσο την Παρασκευή, η FireEye δημοσίευσε μία νέα έκθεση, σύμφωνα με την οποία η ομάδα έχει στραφεί τώρα και προς την ανάπτυξη ransomware σε ορισμένα από τα δίκτυα που δεν χειρίζονται δεδομένα POS. Μάλιστα τα ransomware που αναπτύσσει είναι στελέχη των Ryuk και LockerGoga.
Και τα δύο αυτά στελέχη ανήκουν στα πιο επικίνδυνα και καταστροφικά ransomware, που έχουν πλήξει κρατικούς οργανισμούς και μεγάλες εταιρείες, με πιο πρόσφατο θύμα την Norsk Hydro.
Σύμφωνα και με προηγούμενες αναφορές των CrowdStrike, FireEye, Kryptos Logic, McAfee, IBM και Cybereason, η ομάδα πιστεύεται ότι λειτουργεί έξω από τα όρια της Ρωσίας, από όπου νοικιάζει την υποδομή άλλων ομάδων (Emotet και TrickBot) για να αναζητήσει μεγάλες εταιρείες και αργότερα να της μολύνει με τα Trinity, Ryuk ή LockerGoga.
Παρά την αλλαγή τακτικής της ομάδας ωστόσο, οι αναλυτές δεν είναι σε θέση να διαπιστώσουν αν αυτή είναι πλέον η κύρια επιχειρησιακή λειτουργία της ή αν πρόκειται για μια παρεπόμενη δραστηριότητα που πραγματοποιείται από ορισμένα μέλη της ομάδας.
Οι εταιρείες και οι οργανισμοί θα πρέπει να είναι προσεκτικές και να επαγρυπνούν συνεχώς για οποιοδήποτε σημάδι μπορεί να υποδηλώνει ότι έχουν μολυνθεί από αυτό το επικίνδυνο ransomware.
