FIN11 APT

FIN11 APTは、2016年から活動しているハッカーの集団に与えられた指定です。この特定のグループは、1週間に最大5回の攻撃キャンペーンを実行し、その後に次の期間が続くという極端な活動の期間があることを特徴としています。比較的休眠状態です。 FIN11は、マルウェアツールキットや攻撃手順にそれほど洗練されたものを表示していませんが、膨大な量でそれを補っています。

ほとんどの同様のAPTグループはその存在を長く維持できませんが、FIN11は数年間運用されているだけでなく、優先ターゲットを拡大し、攻撃の焦点を切り替えることで絶え間なく変化しています。 2017年から2018年の間、FIN11は、小売、金融、ホスピタリティの各セクターで働く、狭いグループのエンティティを攻撃することに集中していました。しかし、翌年、ハッカーは無差別に攻撃する犠牲者を選ぶ際に、産業部門や地理的な場所を特に好むことを示しませんでした。

同時に、ハッカーはサイバー犯罪者の間で変化する収益化の傾向に迅速に適応しています。当初、FIN11は、ランサムウェア攻撃に移行する前に、POS（Point-of-Sale）マルウェアを展開していました。彼らの最近の活動では、主に2020年に、グループはハイブリッド恐喝を採用しました。ハッカーはCLOPランサムウェアで被害者を危険にさらしますが、プロセスの暗号化が開始される前に、標的となるコンピューターからのさまざまなデータタイプがFIN11の制御下にあるサーバーに侵入されます。その後、被害者には難しい選択が提示されます。ハッカーに身代金を支払い、うまくいけば、実用的な復号化ツールを受け取るか、機密性の高い企業データや個人データがオンラインで漏洩するリスクがあります。

犯罪活動をサポートするインフラストラクチャを作成するために、FIN11のハッカーは、地下のディーラーが提供する多数のサービスに依存しています。これらのサービスは、ホスティングからマルウェアツールの作成、コード署名証明書、ドメイン登録まで多岐にわたります。

サイバー攻撃で最も人気のあるトレンドを追いかける意欲があり、ターゲットのグループに特に焦点を当てることはなく、同時に複数のフィッシング攻撃を実行する能力が実証されているため、FIN11は当面の間強力な脅威であり続ける可能性があります。