FIN6 контролирует тысячи POS-терминалов во всем мире

Деятельность хакерской группировки FIN6 была впервые замечена в 2015 году. Злоумышленники занимались установкой вредоносного ПО на терминалы в магазинах и отелях. Компания FireEye выпустила отчет о деятельности кардеров и методах их работы.

Согласно опубликованному документу, злоумышленники полностью контролировали сети компаний и имели валидные учетные данные для доступа к компьютерам. Предположительно, учетные данные были похищены другой хакерской группировкой с помощью вредоноса Grabnew и затем проданы FIN6.

После получения доступа к сети хакеры из FIN6 использовали компоненты Metasploit Framework для повышения своих привилегий на компьютерах и установки бекдоров. Затем происходила непосредственно компрометация POS-терминалов. Злоумышленники использовали вредонос FrameworkPOS (TRINITY по классификации FireEye) для хищения данных с пластиковых карт.

Согласно проведенному исследованию, злоумышленникам удалось установить вредоносное ПО примерно на 2 тыс. терминалов и скопировать платежную информацию с 20 млн карт.

Начиная с 2014 года, эти данные продавались на специализированном кардерском форуме в среднем по $21 за запись. В настоящий момент информация об успешной продаже 20 млн карт не подтверждается, однако максимальная сумма выручки в $400 млн является достаточно привлекательной.