Арест «верхушки» не помешал FIN7 продолжать грабить банки

Киберпреступная организация FIN7 по-прежнему активна, несмотря на арест ее ключевых участников. Главной деятельностью FIN7 является похищение финансовых активов компаний (в том числе дебетовых карт), а также получение доступа к финансовым данным или компьютерам сотрудников финансовых отделов с целью похищения средств. Преступники даже учредили поддельные компании, куда нанимали пентестеров, разработчиков и аналитиков для осуществления незаконной деятельности.

В 2018 году были арестованы три гражданина Украины, названные ключевыми фигурами в FIN7. Тем не менее, проанализировав вредоносные операции, в ходе которых использовались характерные для FIN7 тактики, техники и процедуры (TTP), исследователи «Лаборатории Касперского» пришли к выводу, что в 2018-2019 годах группировка по-прежнему продолжала свою деятельность. Также были обнаружены некоторые сходства с кампаниями, проводимыми другими группировками, позаимствовавшими или скопировавшими TTP у FIN7.

В течение прошлого года группировка продолжала атаковать организации с помощью хорошо продуманного целенаправленного фишинга. Отличительной чертой является виртуозное владение техниками социальной инженерии. В некоторых случаях, прежде чем отправить жертве письмо с вредоносным вложением, злоумышленники вели с ней переписку в течение нескольких недель. Один из доменов, использовавшихся в ходе фишинговых операций в 2018 году, содержал более 130 имен пользователей, из чего эксперты ЛК заключили, что к концу прошлого года злоумышленники атаковали порядка 130 компаний.

В числе последних жертв FIN7 оказались банки в Европе и Центральной Америке. В нынешнем году группировка также похитила порядка 13 млн евро из Bank of Valletta на Мальте.

В арсенале FIN7 числятся JavaScript-бэкдор Griffon и вредоносное ПО Cobalt/Meterpreter, а в недавних атаках группировка также использовала известный набор инструментов Powershell Empire.

В сентябре 2018 года сразу после ареста троих участников FIN7 эксперты «Лаборатории Касперского» обнаружили в арсенале группировки новый ботнет AveMaria. AveMaria является классическим ботом для похищения всевозможных учетных данных, в том числе для браузеров, мессенджеров, клиентов электронной почты и пр. Кроме того, вредонос может играть роль кейлоггера. С начала нынешнего года эксперты ЛК получили более 1300 образцов AveMaria и извлекли более 130 C&C-серверов.