Эксперты компании FireEye опубликовали новый отчет о деятельности хак-группы FIN6 и сообщают, что хакеры сменили тактику. Теперь вместо использования привычной PoS-малвари Trinity злоумышленники применяют и шифровальщики Ryuk и LockerGoga.
Напомню, что впервые активность этой группировки была описана в совместном исследовании FireEye и iSight Partner. Тогда, ранво как и сейчас, FIN6 специализировались на масштабных хищениях финансовой информации — в основном это были данные о банковских картах, полученные в результате атак на сектора розничной торговли и медицины. После данные продавались на черном рынке, что суммарно принесло хакерам миллионы долларов.
Основным «рабочим инструментом» группы является вредонос Trinity, чья деятельность направлена непосредственно против point-of-sale девайсов. Trinity собирает в зараженной системе широкий спектр различных данных, пакует информацию в ZIP-архивы и заливает их на хостинг, откуда информация уходит на управляющий сервер злоумышлеников.
Теперь исследователи FireEye сообщают, что FIN6 изменили тактику: злоумышленники заражают скомпрометированные системы (не имеющие отношения к PoS) вымогательским ПО. С июля 2018 года атакующие используют для этих целей небезызвестные шифровальщики Ryuk и LockerGoga.
LockerGoga, в частности, известен тем, что совсем недавно атаковал одного из крупнейших производителей алюминия в мире, компанию Norsk Hydro, а также жертвами малвари, стали две крупные американские компании Hexion и Momentive, производящие силиконы, смолы и так далее.
Что касается Ryuk, детальные отчеты об этой малвари в начале текущего года представили аналитики сразу нескольких компаний, включая Crowdstrike, FireEye, Kryptos Logic и McAfee. Дело в том, что перед новогодними праздниками шифровальщик атаковал крупные зарубежные СМИ, включая Wall Street Journal, New York Times, Los Angeles Times. В своих исследованиях специалисты пришли к выводу, что создатели Ryuk связаны с операторами вредоносов TrickBot и Emotet, у которых фактически арендуют инфраструктуру.
Что именно связывает группировку FIN6 с Ryuk и LockerGoga пока неясно. Исследователи FireEye полагают, что хакеры могли сменить «почерк» и теперь дополняют свои атаки вымогательством, но также возможно, что заражение шифровальщиками – лишь «подработка» некоторых членов группы, которая никак не связана с основной активностью FIN6.