ФИН7

ФИН7
Формирование	2015
Тип	Взлом
Принадлежности	Черная кошка

FIN7 , также называемый Carbon Spider , ELBRUS или Sangria Tempest , ^{[ 1 ]} — это российская преступная группа с постоянными угрозами , которая с середины 2015 года в основном нацелена на секторы розничной торговли, ресторанов и гостиничного бизнеса в США. Часть FIN7 принадлежит подставной компании Combi Security. Ее называют одной из самых успешных преступных хакерских группировок в мире. ^{[ 2 ]} FIN7 также связан с GOLD NIAGARA, ITG14, ALPHV и BlackCat . ^{[ 3 ]}^{[ 4 ]}

История

В марте 2017 года FIN7 провела кампанию по разведке сотрудников компании, причастных к подачи документов SEC. ^{[ 5 ]}

предъявило трем членам FIN7 обвинения В августе 2018 года министерство юстиции США в киберпреступлениях, затронувших более 100 американских компаний. ^{[ 6 ]}

В ноябре 2018 года сообщалось, что FIN7 стояла за утечками данных Red Robin , Chili's , Arby's , Burgerville , Omni Hotels и Saks Fifth Avenue . ^{[ 7 ]}

В марте 2020 года ФБР выпустило предупреждение о том, что члены FIN7 нацелены на компании розничной торговли, ресторанного и гостиничного бизнеса с помощью атак BadUSB , предназначенных для доставки REvil или BlackMatter программ-вымогателей . ^{[ 8 ]} Посылки были отправлены сотрудникам отделов ИТ , высшего руководства и отдела кадров . ^{[ 8 ]} Одной предполагаемой цели была отправлена по почте посылка, в которой содержалась поддельная подарочная карта от Best Buy , а также USB-накопитель с письмом, в котором говорилось, что получатель должен подключить диск к своему компьютеру, чтобы получить доступ к списку товаров, которые можно приобрести. с подарочной картой. ^{[ 8 ]}^{[ 9 ]} При тестировании USB-накопитель эмулировал клавиатуру, а затем инициировал серию нажатий клавиш, которые открывали окно PowerShell и выдавали команды для загрузки вредоносного ПО на тестовый компьютер, а затем связывались с серверами в России . ^{[ 8 ]}^{[ 9 ]}

В декабре 2020 года сообщалось, что FIN7 может быть близким соратником Рюка . ^{[ 10 ]}

В апреле 2021 года «высокопоставленный менеджер» FIN7 Федор Гладырь из Украины был приговорен к 10 годам тюремного заключения в США после того, как признал себя виновным по обвинению в сговоре с целью мошенничества с использованием электронных средств связи и одном пункте обвинения в сговоре с целью компьютерного взлома. ^{[ 11 ]}^{[ 12 ]}

В январе 2022 года ФБР выпустило предупреждение о том, что члены FIN7 нацелены на транспортные и страховые компании (с августа 2021 года), а также оборонные компании (с ноября 2021 года) с помощью атак BadUSB, предназначенных для доставки программ-вымогателей REvil и/или BlackMatter . ^{[ 13 ]}^{[ 14 ]} Предполагаемым целям были отправлены USB-накопители в посылках, якобы от Amazon или Министерства здравоохранения и социальных служб США , с письмами, в которых говорилось о бесплатных подарочных картах или протоколах COVID-19, которые якобы были дополнительно объяснены информацией на USB-накопителе. ^{[ 13 ]}^{[ 14 ]} При подключении USB-накопители имитируют клавиатуру, а затем инициируют серию нажатий клавиш, которые открывают окно PowerShell и выдают команды для загрузки вредоносного ПО. ^{[ 13 ]}^{[ 14 ]}

В 2021 году группа начала использовать программное обеспечение, известное как ALPHV, написанное на Rust , которое предлагалось филиалам как программа-вымогатель как услуга . ^{[ 4 ]}^{[ 15 ]}

В феврале 2023 года группа была названа в Высоком суде Ирландии виновной в атаке с использованием программы-вымогателя в Мюнстерском технологическом университете . ^{[ 16 ]}

Ссылки

^ «Как Microsoft называет субъектов угроз» . Майкрософт . Проверено 21 января 2024 г.
^ «Fin7: Хакерская группа с оборотом в миллиард долларов, стоящая за чередой крупных взломов» . Проводной . ISSN 1059-1028 . Проверено 15 марта 2021 г.
^ «FIN7, GOLD NIAGARA, ITG14, Carbon Spider, Группа G0046 | MITRE ATT&CK®» . Attack.mitre.org . Проверено 01 марта 2022 г.
^ Перейти обратно: ^а ^б Скрокстон, Алекс (22 сентября 2022 г.). «Семейство программ-вымогателей ALPHV/BlackCat становится все более опасным» . Компьютерный еженедельник . Проверено 12 февраля 2023 г.
^ «Кампания целевого фишинга FIN7 нацелена на сотрудников, участвовавших в подготовке документов SEC» . Огненный Глаз . Архивировано из оригинала 19 апреля 2021 г. Проверено 15 марта 2021 г.
^ «Три члена печально известной международной киберпреступной группы «Fin7» находятся под стражей за участие в атаке на более чем 100 американских компаний» . www.justice.gov . 01.08.2018 . Проверено 15 марта 2021 г.
^ Горелик, Михаил. «FIN7 не завершен – Morphisec заметил новую кампанию» . blog.morphisec.com . Проверено 15 марта 2021 г.
^ Перейти обратно: ^а ^б ^с ^д Илашку, Ионут (27 марта 2020 г.). «ФБР: хакеры отправляют вредоносные USB-накопители и плюшевых мишек через USPS» . Пипящий компьютер . Хотя это не единичный случай. ФБР предупреждает, что FIN7 разослала эти пакеты через USPS многочисленным предприятиям (розничная торговля, ресторанный бизнес, гостиничный бизнес), где они нацелены на сотрудников отделов кадров, информационных технологий или высшего руководства. Эти пакеты иногда включают в себя «подарки», такие как плюшевые мишки или подарочные карты. Эти USB-накопители настроены на эмуляцию нажатий клавиш, которые запускают команду PowerShell для получения вредоносного ПО с сервера, контролируемого злоумышленником. Затем USB-устройство связывается с доменами или IP-адресами в России.
^ Перейти обратно: ^а ^б Чимпану, Каталин (26 марта 2020 г.). «Редкая атака BadUSB против американского поставщика услуг гостеприимства обнаружена» . ЗДНет . Архивировано из оригинала 26 марта 2020 г. Проверено 7 сентября 2021 г.
^ «Сотрудничество FIN7 и группы RYUK, расследование Truesec» . Блог TRUESEC . 22 декабря 2020 г. Проверено 15 марта 2021 г.
^ «Высокопоставленный организатор печально известной хакерской группы FIN7 приговорен к десяти годам тюремного заключения за схему, которая скомпрометировала десятки миллионов дебетовых и кредитных карт» . www.justice.gov . 16 апреля 2021 г. Проверено 22 апреля 2021 г.
^ Палмер, Дэнни. « Высокопоставленный организатор хакерской группы FIN7 приговорен к 10 годам лишения свободы» . ЗДНет . Проверено 22 апреля 2021 г.
^ Перейти обратно: ^а ^б ^с Гатлан, Сергей (07.01.2022). «ФБР: Хакеры используют BadUSB для атаки на оборонные предприятия с помощью программ-вымогателей» . Пипящий компьютер . Операторы FIN7 выдавали себя за Amazon и Министерство здравоохранения и социальных служб США (HHS), чтобы обманом заставить жертв открыть посылки и подключить USB-накопители к их системам. В отчетах, полученных ФБР с августа, говорится, что эти вредоносные пакеты также содержат письма с инструкциями по COVID-19 или поддельные подарочные карты и поддельные благодарственные письма, в зависимости от выдающегося лица.
^ Перейти обратно: ^а ^б ^с Тунг, Лиам (10 января 2022 г.). «Предупреждение о программах-вымогателях: киберпреступники рассылают по почте USB-накопители, на которых установлено вредоносное ПО» . ЗДНЕТ .
^ «2022-004: Профиль программы-вымогателя ACSC – ALPHV (он же BlackCat)» . Австралийский центр кибербезопасности . 14 апреля 2022 г. Проверено 12 февраля 2023 г.
^ Мур, Джейн; О'Коннор, Найл. «MTU Cork подтверждает, что хакеры зашифровали университетские данные и потребовали выкуп» . TheJournal.ie .

[ms-threat-actors-24-1] «Как Microsoft называет субъектов угроз» . Майкрософт . Проверено 21 января 2024 г.

[2] «Fin7: Хакерская группа с оборотом в миллиард долларов, стоящая за чередой крупных взломов» . Проводной . ISSN 1059-1028 . Проверено 15 марта 2021 г.

[3] «FIN7, GOLD NIAGARA, ITG14, Carbon Spider, Группа G0046 | MITRE ATT&CK®» . Attack.mitre.org . Проверено 01 марта 2022 г.

[cw-alphv-blackcat-4] Перейти обратно: ^а ^б Скрокстон, Алекс (22 сентября 2022 г.). «Семейство программ-вымогателей ALPHV/BlackCat становится все более опасным» . Компьютерный еженедельник . Проверено 12 февраля 2023 г.

[5] «Кампания целевого фишинга FIN7 нацелена на сотрудников, участвовавших в подготовке документов SEC» . Огненный Глаз . Архивировано из оригинала 19 апреля 2021 г. Проверено 15 марта 2021 г.

[6] «Три члена печально известной международной киберпреступной группы «Fin7» находятся под стражей за участие в атаке на более чем 100 американских компаний» . www.justice.gov . 01.08.2018 . Проверено 15 марта 2021 г.

[7] Горелик, Михаил. «FIN7 не завершен – Morphisec заметил новую кампанию» . blog.morphisec.com . Проверено 15 марта 2021 г.

[BC_2020-03-27-8] Перейти обратно: ^а ^б ^с ^д Илашку, Ионут (27 марта 2020 г.). «ФБР: хакеры отправляют вредоносные USB-накопители и плюшевых мишек через USPS» . Пипящий компьютер . Хотя это не единичный случай. ФБР предупреждает, что FIN7 разослала эти пакеты через USPS многочисленным предприятиям (розничная торговля, ресторанный бизнес, гостиничный бизнес), где они нацелены на сотрудников отделов кадров, информационных технологий или высшего руководства. Эти пакеты иногда включают в себя «подарки», такие как плюшевые мишки или подарочные карты. Эти USB-накопители настроены на эмуляцию нажатий клавиш, которые запускают команду PowerShell для получения вредоносного ПО с сервера, контролируемого злоумышленником. Затем USB-устройство связывается с доменами или IP-адресами в России.

[ZDNET_2020-03-26-9] Перейти обратно: ^а ^б Чимпану, Каталин (26 марта 2020 г.). «Редкая атака BadUSB против американского поставщика услуг гостеприимства обнаружена» . ЗДНет . Архивировано из оригинала 26 марта 2020 г. Проверено 7 сентября 2021 г.

[10] «Сотрудничество FIN7 и группы RYUK, расследование Truesec» . Блог TRUESEC . 22 декабря 2020 г. Проверено 15 марта 2021 г.

[11] «Высокопоставленный организатор печально известной хакерской группы FIN7 приговорен к десяти годам тюремного заключения за схему, которая скомпрометировала десятки миллионов дебетовых и кредитных карт» . www.justice.gov . 16 апреля 2021 г. Проверено 22 апреля 2021 г.

[12] Палмер, Дэнни. « Высокопоставленный организатор хакерской группы FIN7 приговорен к 10 годам лишения свободы» . ЗДНет . Проверено 22 апреля 2021 г.

[BP_2022-01-07-13] Перейти обратно: ^а ^б ^с Гатлан, Сергей (07.01.2022). «ФБР: Хакеры используют BadUSB для атаки на оборонные предприятия с помощью программ-вымогателей» . Пипящий компьютер . Операторы FIN7 выдавали себя за Amazon и Министерство здравоохранения и социальных служб США (HHS), чтобы обманом заставить жертв открыть посылки и подключить USB-накопители к их системам. В отчетах, полученных ФБР с августа, говорится, что эти вредоносные пакеты также содержат письма с инструкциями по COVID-19 или поддельные подарочные карты и поддельные благодарственные письма, в зависимости от выдающегося лица.

[ZDNET_2022-01-10-14] Перейти обратно: ^а ^б ^с Тунг, Лиам (10 января 2022 г.). «Предупреждение о программах-вымогателях: киберпреступники рассылают по почте USB-накопители, на которых установлено вредоносное ПО» . ЗДНЕТ .

[15] «2022-004: Профиль программы-вымогателя ACSC – ALPHV (он же BlackCat)» . Австралийский центр кибербезопасности . 14 апреля 2022 г. Проверено 12 февраля 2023 г.

[tj-mtu-cork-confirms-hackers-encrypted-university-data-16] Мур, Джейн; О'Коннор, Найл. «MTU Cork подтверждает, что хакеры зашифровали университетские данные и потребовали выкуп» . TheJournal.ie .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]