Эксперты «Лаборатории Касперского» сообщили, что, несмотря на арест лидеров группы Fin7, произведенный в августе 2018 года, атаки группы по-прежнему продолжаются.
Исследователи обнаружили несколько новых инцидентов, за которыми стояли именно участники Fin7. Более того, методы атак группы усложнились. Эксперты полагают, что Fin7 могла увеличить число атакующих групп, работающих под ее «зонтичным брендом», и с большой вероятностью продолжила практику найма сотрудников под видом вполне официального секьюрити-вендора.
Аналитики напоминают, что Fin7 активна с середины 2015 года. Группировка подозревается в атаках на американские компании из сегмента ритейла, а также ресторанно-гостиничного бизнеса. Fin7 активно сотрудничает с группой Carbanak: злоумышленники обмениваются инструментами и методами атак, в результате чего между группировками можно поставить своеобразный «знак равенства». Преступников из Fin7 интересует, прежде всего, финансовая информация, например, данные о платежных картах или для учетные данные для доступа к компьютерам финансовых департаментов. Получив необходимые сведения, злоумышленники крадут деньги и переводят их на оффшорные счета.
Как показало расследование «Лаборатории Касперского», группировка Fin7 не думает сворачивать свою активность даже после ареста ее лидеров. На протяжении всего 2018 года злоумышленники активно рассылали вредоносное ПО посредством сложных кампаний целенаправленного фишинга. В некоторых случаях атакующие вели переписку с жертвами на протяжении нескольких недель, прежде чем выслать им вредоносное вложение в одном из писем. По оценкам исследователей, к концу 2018 года Fin7 атаковала подобным образом более 130 компаний.
Помимо этого, эксперты обнаружили несколько отдельных группировок, которые так или иначе участвуют в операциях Fin7. Например, совместная инфраструктура и использование одних и тех же тактик, техник и процедур говорят о том, что Fin7 с большой долей вероятности сотрудничает с организаторами ботнета AveMaria и группой CobaltGoblin/EmpireMonkey, стоящей за банковскими ограблениями в Европе и Центральной Америке.
«Современные кибергруппировки можно сравнить с мифической Лернейской гидрой – ты отрубаешь одну голову, и на ее месте сразу же вырастают новые. Защититься от такой угрозы можно только с помощью многоуровневой системы безопасности и продвинутых технологий, которые способны распознать новое, еще не получившее широкого распространения вредоносное ПО и блокировать самые сложные техники злоумышленников. При этом важно уделять внимание обучению сотрудников навыкам кибербезопасности – подобные знания помогут избежать инцидентов, источником которых становятся методы социальной инженерии, как в случае с адресным фишингом Fin7», – подчеркнул Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».
