„Gang FIN7 powraca z nowymi możliwościami” - grupa hakerska specjalizująca się w cyberatakach na sektor finansowy wdraża nowe narzędzia i techniki działania - ostrzegają eksperci.
Pomimo poważnych represji ze strony organów ścigania wymierzonych w członków grupy, Gang FIN 7 rozpoczął nową kampanię, w ramach której hakerzy posługują się nowymi złośliwymi narzędziami – informuje serwis BankInfo Security.
Przez kilka lat cyberprzestępcy należący do FIN7 przeprowadzali cyberataki wymierzone w przede wszystkim w podmioty gospodarcze, takie jak na przykład restauracje, hotele czy kasyna. Według specjalistów firmy FireEye w większości przypadków grupa wykorzystywała techniki phishingu w celu umieszczania złośliwego oprogramowania w wewnętrznej sieci IT danej firmy lub urządzeniach odpowiedzialnych za dokonywanie transakcji finansowych (m.in. czytniki kart płatniczych). W ten sposób hakerzy wykradali wrażliwe dane, które następnie sprzedawali.
Pomimo starań Departamentu Sprawiedliwości USA i aresztowania trzech liderów grupy w 2018 roku, pozostali członkowie Gangu FIN7 kontynuowali swoją złośliwą działalność. Obecnie cyberprzestępcy unowocześnili swój zestaw narzędzi – wskazuje BankInfo Security, powołując się na opinię specjalistów FireEye.
Nowa broń
W ostatnim czasie eksperci FireEye odkryli nową aktywność FIN7. Jej dogłębna analiza wykazała, że podczas prowadzonej kampanii hakerzy wykorzystywali nowe, nieznane dotychczas narzędzie. Są nimi m.in. Boostwrite oraz Rdfsniffer.
Jak informuje BankInfo Security, te dwa narzędzia działają razem. Boostwrite używa ważnego certyfikatu, aby uniknąć wykrycia, a następnie instaluje się w sieci. Za jego pomocą hakerzy dostarczają szkodliwe oprogramowanie bezpośrednio do pamięci urządzenia. „FIN7 wprowadza niewielkie zmiany w tej rodzinie szkodliwego oprogramowania przy użyciu wielu metod w celu uniknięcia tradycyjnego wykrywania antywirusowego, w tym próbki Boostwrite, w której dropper został podpisany przez ważny urząd certyfikacji” – tłumaczą specjaliści FireEye.
Następnie Boostwrite umożliwia wprowadzenie do sieci pliku Rdfsniffer, który służy do manipulowania konkretnym narzędziem powiązanym z system przetwarzania płatności. W środowisku jest uznawany za trojana, umożliwiającego uzyskanie zdalnego dostępu do wybranego nośnika.
W przeszłości hakerzy FIN7 wykorzystywali wiadomości phishingowe jako początkowe narzędzie ataku. W obecnej kampanii incydent rozpoczyna się w odmienny sposób, jednak specjaliści nie posiadają wystarczającej wiedzy, aby wskazać na konkretną technikę działania cyberprzestępców. Nieznane są również cele złośliwej kampanii oraz tożsamość ewentualnych poszkodowanych.
Specjaliści ostrzegają przed nową kampanią
Nowe narzędzia oraz techniki działania są dowodem na to, że sposób działania Gang FIN7 stale ewoluuje w odpowiedzi na ulepszenie zabezpieczeń – wskazuje serwis BankInfo Security. Grupa prawdopodobnie dalej będzie modyfikować swoje metody w ciągu najbliższych kilku miesięcy. „Pomimo działań ze strony organów ścigania oczekujemy, że co najmniej część podmiotów wchodzących w skład organizacji przestępczej FIN7 będzie nadal prowadzić złośliwe kampanie” – alarmują specjaliści firmy FireEye.