Nakon hapšenja brojnih osumnjičenih vođa ozloglašene Fin7/Carbanak sajber bande 2018. godine, smatralo se da je grupa uništena. Međutim, istraživači kompanije Kaspersky Lab su detektovali brojne nove napade od strane istih grupa koje koriste GRIFFON malver. Prema navodima eksperata kompanije, može biti da je grupa Fin7 proširila broj grupa koje deluju pod njenim okriljem; povećala sofisticiranost svojih metoda; i čak pozicionirala sebe kao legitimnog prodavca bezbednosnih usluga kako bi regrutovala profesionalne zaposlene i prevarila ih da joj pomognu u krađi finansijskih sredstava.
Veruje se da grupa Fin7 stoji iza napada usmerenih na maloprodajne, restoranske i bolničke sektore u SAD od sredine 2015. godine, blisko je sarađivala i delila alate i metode sa ozloglašenom Carbanak grupom. Dok se Carbanak najpre fokusira na banke, Fin7 najviše targetira preduzeća, potencijalno zarađujući milione dolara u finansijskim sredstvima kao što su kredencijali za platne kartice ili informacije o računima na računarima finansijskih odeljenja. Kada su akteri pretnji dobili ono što im je trebalo, preneli su novac na inostrane račune.
Prema novom istraživanju kompanije Kaspersky Lab, grupa je nastavila svoju aktivnost – uprkos prošlogodišnjem hapšenju navodnih vođa grupe – primenjujući sofisticirane spir-fišing kampanje tokom 2018. godine i distribuirajući malvere svakoj meti putem specijalno skrojenih imejlova. U različitim slučajevima, operatori su razmenjivali poruke sa svojim namenjenim žrtvama tokom višenedeljnog perioda pre nego što su konačno poslali maliciozne dokumente kao priloge. Kompanija Kaspersky Lab procenjuje da je do kraja 2018. godine više od 130 kompanija targetirano na ovaj način.
Istraživači su takođe otkrili druge kriminalne timove koji rade pod okriljem grupe Fin7. Korišćenje zajedničke infrastrukture i istih taktika, tehnika i procedura (TTPs), ukazuje na to da Fin7 verovatno sarađuje sa AveMaria botnet-om i grupama poznatim kao CobaltGoblin/EmpireMonkey, za koje se veruje da stoje iza pljački banki u Evropi i Centralnoj Americi.
Kompanija Kaspersky Lab je takođe otkrila da je grupa Fin7 kreirala lažnu kompaniju koja tvrdi da je legitimni prodavac sajber bezbednosnih proizvoda, sa kancelarijama širom Rusije. Vebsajt kompanije je registrovan na serverima koje Fin7 koristi kao komandni i kontrolni centar (C&C). Lažno preduzeće je korišćeno za regrutovanje nesumnjičavih freelance istraživača ranjivosti, programera i prevodilaca putem legitimnih onlajn sajtova za zapošljavanje. Izgleda da neke od individua koje rade u ovim lažnim kompanijama nisu sumnjale da su uključene u preduzeće koje se bavi sajber kriminalom, a mnogi su i iskustvo rada u organizacijama naveli u svojim biografijama.
“Moderne sajber pretnje mogu da se porede sa mističnim stvorenjem Lernejska hidra – odsečete joj jednu glavu i njoj izrastu dve nove. Stoga, najbolji način da zaštitite sebe od takvih aktera jeste da implementirate naprednu, višeslojnu zaštitu: instalirajte sve softverske zakrpe odmah nakon što su objavljene i vršite redovnu bezbednosnu analizu na svim mrežama, sistemima i uređajima,” rekao je Juri Namestnikov (Yury Namestnikov), istraživač bezbednosti u kompaniji Kaspersky Lab.
Kako bi smanjili rizik od infekcije, korisnicima se savetuje da:
· Koriste bezbednosna rešenja sa posvećenom funkcionalnošću usmerenom na detektovanje i blokiranje pokušaja fišinga. Preduzeća mogu zaštititi svoje lokalne imejl sisteme sa ciljanim aplikacijama unutar paketa Kaspersky Endpoint Security for Business. Kaspersky Security for Microsoft Office 365 pomaže u zaštiti mejl usluge Exchange Online bazirane na cloud-u, unutar Microsoft Office 365 paketa.
· Uvedite obuku koja će podizati svest o bezbednosti i podučavaju praktične veštine. Programi kao što je Kaspersky Automated Security Awareness Platform će pomoći u utemeljenju veština i sprovoditi simulacije fišing napada.
· Obezbedite svom bezbednosnom timu pristup svim najnovijim podacima o pretnji, kako bi držali korak sa poslednjim taktikama i alatima koje sajber kriminalci koriste.