FIN7 memperbarui aktivitas ransomware-nya

FIN7 memperbarui aktivitas ransomware-nya

 227,496 total views,  2 views today


Halo Sobat Teknokrat – FIN7 adalah aktor ancaman berbahasa Rusia dan bermotivasi finansial yang aktif setidaknya sejak 2012. Sebuah peneliti dari PRODAFT mengungkapkan bahwa aktor ancaman FIN7 memperbarui aktivitas ransomware-nya dan memberikan pandangan unik ke dalam struktur grup. Pelajari cara melindunginya.

FIN7 adalah aktor ancaman yang sebagian besar berfokus pada pencurian informasi keuangan, tetapi juga menjual informasi sensitif yang dicuri dari perusahaan. Grup terorganisir ini, yang dikenal sebagai aktor ancaman Carbanak, mungkin memulai aktivitasnya pada tahun 2013 dan berspesialisasi dalam penipuan perbankan dan mencuri informasi kartu kredit menggunakan malware point-of-sale. Itu juga membahayakan ATM dan menggunakan skrip berbahaya untuk mendapatkan uang. Grup ini dikenal secara teknis maju dan sangat efektif.

Baca Juga : Memahami Pengeboran Default Microsoft Power BI

Untuk mengkompromikan sistem, FIN7 menggunakan berbagai metode, seperti menjalankan kampanye phishing melalui email atau mengeksploitasi kerentanan umum seperti ProxyLogon/ProxyShell untuk menembus infrastruktur yang ditargetkan. Itu mungkin juga membeli kredensial curian di pasar bawah tanah, yang diuji dengan alat yang dikembangkannya sebelum menggunakannya untuk mengakses lingkungan target.

FIN7 juga memanfaatkan serangan BadUSB, yang terdiri dari stik USB dengan muatan aktif yang mensimulasikan keyboard dan dijalankan segera setelah perangkat USB terhubung ke komputer. FIN7 mengirimkan perangkat tersebut melalui surat pos sebagai “hadiah” kepada karyawan di bisnis perhotelan atau penjualan, bersama dengan kartu hadiah BestBuy palsu untuk memikat pengguna agar menggunakan perangkat USB.

aktivitas ransomware FIN7

FIN7 mulai menggunakan ransomware pada tahun 2020, menjadi afiliasi dari beberapa grup ransomware paling aktif: Sodinokibi, REvil, LockBit, dan DarkSide. Tampaknya pelaku ancaman memutuskan operasinya pada perangkat POS tidak cukup menguntungkan dibandingkan dengan serangan ransomware.

Untuk mengoperasikan ransomware, FIN7 memilih targetnya berdasarkan informasi publik tentang perusahaan dan pendapatan mereka. Ini bertujuan untuk perusahaan dengan pendapatan tinggi, yang mungkin membayar uang tebusan lebih cepat daripada yang lebih kecil. Pendapatan target juga digunakan untuk menghitung nilai tebusan.

Setelah akses awal diperoleh di jaringan target, FIN7 menyebar ke dalam jaringan dan mencuri file sebelum mengenkripsinya melalui kode ransomware.

MELIHAT: Pelanggaran kata sandi: Mengapa budaya pop dan kata sandi tidak bercampur (PDF gratis) (Republik Teknologi)

Percakapan bocor sebagai terbuka oleh peneliti PRODAFT menunjukkan bahwa ketika uang tebusan dibayarkan, 25% diberikan kepada pengembang ransomware, dan 20% diberikan kepada orang yang bertanggung jawab untuk mengakses jaringan dan menjalankan bagian teknis dari operasi. Jumlah tertinggi dari sisa uang diberikan kepada kepala tim yang berurusan dengan uang tebusan. Uang yang tersisa setelah pembagian ini disebarkan di antara anggota kelompok.

FIN7 juga dapat menargetkan ulang perusahaan yang telah membayar uang tebusan. Kebocoran percakapan antara anggota menunjukkan bahwa itu mungkin kembali ke sistem, jika kerentanan yang sama belum ditambal, dengan ransomware yang berbeda, oleh karena itu berpura-pura itu hanyalah aktor ransomware lain dan mencoba mendapatkan uang tebusan kedua.

Struktur FIN7 yang masif dan terorganisir

Para peneliti dari PRODAFT mengungkap bagian dari struktur organisasi FIN7, yang mengungkap entitas utama grup: pemimpin tim, pengembang, penguji penetrasi, dan afiliasi.

Pemimpin tim adalah dalang dari intrusi komputer dan serangan ransomware pada perusahaan dengan banyak pengalaman. Pengembang juga berpengalaman, dan mereka bertanggung jawab atas alat khusus dan malware yang digunakan oleh grup.

Afiliasi FIN7 terkadang bekerja untuk beberapa pelaku ancaman ransomware. Selain itu, mereka menjual informasi kartu kredit yang dapat mereka curi selama operasi mereka.

Pada catatan yang lebih mengejutkan, tampaknya kepemimpinan FIN7 terkadang menggunakan bahasa yang mengancam dengan para anggotanya yang tampaknya tidak cukup bekerja. Bisa jadi separah mengancam keluarga orang jika seorang pekerja ingin mengundurkan diri atau lari dari tanggung jawab (Gambar A).

Gambar A

pesan ancaman kepada pekerja FIN7, diterjemahkan dari bahasa Rusia
Gambar: PRODAFT. Pesan dari manajer tim FIN7, menunjukkan ancaman bagi mereka yang akan berhenti bekerja atau menghilang, sebagaimana diterjemahkan dari bahasa Rusia.

target FIN7

FIN7 telah mencapai 8.147 target di seluruh dunia, dengan 16,74% berada di AS (Gambar B).

Gambar B

peta peta panas korban FIN7 di seluruh dunia
Gambar: PRODAFT. Distribusi korban FIN7 di seluruh dunia.

Rusia juga sangat diincar, meskipun negara itu tidak pernah muncul di tahap selanjutnya dari siklus serangan; oleh karena itu, peta panas ini harus dianggap sebagai indikator yang baik dari kampanye besar yang melanda perusahaan pada tahap pertama, tetapi banyak dari kampanye tersebut kemudian dianggap tidak sepadan dengan upaya aktor ancaman FIN7 karena berbagai alasan. Hanya sebagian kecil dari lebih dari 8.000 target yang benar-benar diserang dan dimintai uang tebusan.

Bagaimana melindungi organisasi Anda dari ancaman keamanan siber ini

Semua sistem operasi dan perangkat lunaknya harus selalu diperbarui dan ditambal, karena FIN7 terkadang menggunakan kerentanan umum untuk mencapai targetnya dan mendapatkan pijakan awal di jaringan korporat perusahaan. Solusi keamanan juga harus diterapkan untuk memantau titik akhir dan perilaku server serta mendeteksi upaya akses penipuan.

Selain itu, autentikasi multifaktor perlu digunakan sedapat mungkin dan terutama pada sistem atau layanan apa pun yang terhubung ke internet. Karena FIN7 digunakan untuk membeli kredensial yang valid untuk perusahaan, MFA mungkin menghentikan mereka untuk masuk dari jarak jauh ke sistem tersebut.

Terakhir, disarankan untuk menerapkan perangkat lunak manajemen perangkat yang memungkinkan pengguna mengontrol dan memantau perangkat yang terhubung melalui USB, karena FIN7 terkadang menggunakan serangan BadUSB.

Pencegahan keamanan lebih mudah dengan unduhan TechRepublic Premium ini: Kebijakan manajemen tambalan dan Kebijakan pembaruan sistem.

Penyingkapan: Saya bekerja untuk Trend Micro, tetapi pandangan yang diungkapkan dalam artikel ini adalah milik saya.

17 thoughts on “FIN7 memperbarui aktivitas ransomware-nya

  1. Pingback:Memindahkan Data dari iPhone ke ponsel Android - Blog Teknokrat
  2. When someone writes an post he/she maintains the idea of a user in his/her brain that how a user can understand it. Thus that’s why this article is great. Thanks!

  3. Heya! I know this is somewhat off-topic however I had to ask. Does operating a well-established blog like yours require a lot of work? I’m brand new to blogging however I do write in my diary everyday. I’d like to start a blog so I will be able to share my personal experience and thoughts online. Please let me know if you have any kind of recommendations or tips for brand new aspiring blog owners. Appreciate it!

  4. Really stunning books from a UK publisher. Choice of direct bargains, Best for two or more books, or buy via BooksEtc, best for single books.

  5. What’s Happening i’m new to this, I stumbled upon this I have discovered It positively helpful and it has aided me out loads. I hope to give a contribution & help different customers like its aided me. Good job.

  6. Hello, every time i used to check web site posts here early in the dawn, for the reason that i love to learn more and more.

  7. Pingback:ewot
  8. Wonderful items from you, man. I have consider your stuff prior to and you are just too magnificent. I really like what you have got right here, certainly like what you’re stating and the way in which through which you are saying it. You make it entertaining and you still take care of to keep it wise. I cant wait to read far more from you. That is actually a terrific web site.

  9. Wonderful items from you, man. I have consider your stuff prior to and you are just too magnificent. I really like what you have got right here, certainly like what you’re stating and the way in which through which you are saying it. You make it entertaining and you still take care of to keep it wise. I cant wait to read far more from you. That is actually a terrific web site.

  10. Pingback:Pengantar Penyerapan Data - Blog Teknokrat
  11. It’s really a nice and helpful piece of information. I am happy that you just shared this helpful information with us. Please keep us up to date like this. Thank you for sharing.

  12. An outstanding share! I’ve just forwarded this onto a friend who was doing a little homework on this. And he actually bought me breakfast simply because I stumbled upon it for him… lol. So allow me to reword this…. Thanks for the meal!! But yeah, thanks for spending time to discuss this matter here on your web site.

  13. Hmm it seems like your site ate my first comment (it was extremely long) so I guess I’ll just sum it up what I submitted and say, I’m thoroughly enjoying your blog. I as well am an aspiring blog blogger but I’m still new to the whole thing. Do you have any recommendations for beginner blog writers? I’d certainly appreciate it.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.

Solverwp- WordPress Theme and Plugin

WordPress Appliance - Powered by TurnKey Linux