Кибергруппировка FIN6 пополнила арсенал вымогателями LockerGoga и Ryuk

Киберпреступная группировка FIN6, известная своими атаками на PoS-терминалы, расширила сферу деятельности, включив в арсенал вымогательское ПО LockerGoga и Ryuk. Изменения в поведении группировки заметили специалисты компании FireEye, расследовавшие несколько не связанных друг с другом атак с использованием данных вредоносов. В ходе анализа они заметили ряд признаков, указывающих на причастность FIN6.

Атаки начались в июле 2018 года, в это же время число атак на PoS-терминалы, осуществляемых группировкой, значительно сократилось. Эксперты не раскрыли названия пострадавших компаний, но уточнили, что речь идет об ущербе в десятки миллионов долларов. Учитывая различия в тактике между новыми атаками и предыдущей деятельностью FIN6, распространение программ-вымогателей может быть делом рук отдельных участников группировки, ищущих дополнительный способ заработка, полагают исследователи.

Проникнув в сеть жертвы, злоумышленники «разведывают обстановку» с помощью различных средств: краденных учетных данных, инструмента Cobalt Strike, ПО Metasploit, AdFind и 7-Zip. Продвижение по сети осуществляется через протокол удаленного подключения RDP. После установки соединения атакующие используют две техники: первая предполагает применение PowerShell для выполнения зашифрованных команд, внедрения Cobalt Strike на скомпрометированную систему и загрузку вредоносного ПО. Вторая заключается в создании рандомных сервисов Windows для исполнения команд PowerShell и загрузки дополнительных вредоносных модулей с управляющего сервера. С помощью архиватора 7-Zip похищенные данные запаковываются и затем отправляются на С&C-сервер.