Специалисты компании FireEye представили отчет (PDF) посвященный деятельности хакерской группы FIN10, которая вымогает деньги у североамериканских компаний, в основном концентрируясь на горнодобывающих предприятиях и казино, работающих в Канаде.
Исследователи пишут, что группа FIN10 активна с 2013 года. Хакеры атакуют системы различных организаций, похищают конфиденциальные данные, а затем требуют у компании выкуп в размере от 100 до 500 биткоинов, угрожая опубликовать украденную информацию в открытом доступе. Если пострадавшие отказываются платить, похищенные данные действительно публикуются в интернете, а также хакеры стараются нанести как можно больше вреда системам «несговорчивой» организации, удаляя важные файлы.
Часто атаки FIN10 начинаются с классических фишинговых писем, которые хакеры составляют, основываясь на информации, почерпнутой из LinkedIn и других открытых источников. Если фишинг сработал, затем злоумышленники задействуют такую малварь, как Meterpreter, Splinter RAT, а также различные PowerShell-утилиты, включая написанные самостоятельно. Эти инструменты помогают атакующим закрепиться в целевой системе и украсть как можно больше корпоративных секретов, включая письма и личные данные пользователей.
Своим жертвам хакеры представляются по-разному, к примеру, выдают себя за группу российских хактивистов Angels_Of_Truth, якобы атакующих канадские компании из-за экономических санкций, наложенных на Россию. Исследователи, тем не менее, сомневаются, что FIN10 имеют отношение к России. По данным аналитиков, все сообщения, написанные на русском языке, созданы с помощью машинного перевода.
По данным DataBreaches.net, в 2015 году хакеры скомпрометировали золотодобывающую компанию Detour Gold Corporation, скрываясь под именем Angels_Of_Truth. Тогда злоумышленники опубликовали в сети личные данные сотрудников компании и ее клиентов (включая медицинские данные), информацию о заработных платах, юридические документы, инвойсы и так далее. Также FIN10 иногда выдают себя за сербских хактивистов Tesla Team или группировку Anonymous Threat Agent.
В заключение своего отчета специалисты FireEye отмечают, что группировка по-прежнему активна и не собирается останавливаться, а методы, которые применяют хакеры, позволяют группе с легкостью расширить «зону» атак, компрометируя не только промышленные предприятия и казино. Специалисты уверены, что участниками FIN10 движет не только стремление к финансовой выгоде (хотя это является основным мотивирующим фактором), но также желание потешить собственное самолюбие.