Fin7 siber suçlu grubu, 130’dan fazla şirkete saldırdı

Liderleri 2018’de tutuklanan ünlü Fin7/Carbanak siber suç çetesinin tamamen dağıldığı düşünülüyordu. Ancak araştırmacılar aynı grubun GRIFFON adlı zararlı yazılımı kullanarak bir dizi saldırı gerçekleştirdiğini tespit etti.

1-

2015’ten bu yana ABD’de perakende, restoran ve konaklama sektörlerine yönelik bir dizi saldırının arkasında olduğu düşünülen Fin7’nin, Carbanak adlı ünlü grup ile yakın bir şekilde çalışarak araç ve yöntemlerini paylaştığı biliniyordu.

2-

Carbanak genellikle bankaları hedef alırken, Fin7 ise daha çok şirketleri hedef alıyordu.

3-

Düzenlenen saldırılarda şirketlerin finans departmanlarındaki bilgisayarlardan milyonlarca dolar değerindeki ödeme kartı kimlik verileri veya hesap bilgileri gibi varlıklar çalındı.

4-

Tehdit grupları istediklerini elde ettikten sonra parayı offshore hesaplara aktarıyordu.

5-

Kaspersky Lab’ın yaptığı yeni araştırmaya göre bu grup, liderleri olduğu iddia edilen kişilerin geçtiğimiz yıl içinde tutuklanmasına rağmen faaliyetlerini sürdürüyor. Grubun, özel tasarlanan e-postalarla insanlara zararlı yazılım göndererek 2018 boyunca hedef odaklı kimlik avı saldırıları düzenlediği belirlendi.

6-

Bazı vakalarda, saldırganların zararlı belgeleri göndermeden önce hedef aldıkları kişiyle bir haftayı aşan süre boyunca e-posta üzerinden görüştüğü tespit edildi. Uzmanlar, 2018’in sonuna kadar 130’dan fazla şirketin bu şekilde saldırıya uğramış olabileceğini tahmin ediyor.

7-

Araştırmacılar Fin7 adı altında faaliyet gösteren başka suç ekipleri de keşfetti. Kullanılan altyapı, taktik, teknik ve prosedürlerin aynı olması nedeniyle, Fin7’nin CobaltGoblin/EmpireMonkey olarak bilinen gruplarla ve AveMaria botnet ile birlikte hareket ettiği düşünülüyor.

8-

Grubun Avrupa ve Orta Amerika’daki bankalara yönelik saldırıların arkasına olduğuna inanılıyor.

9-

Uzmanlar ayrıca Fin7’nin Rusya’da birçok ofise sahip yasal bir siber güvenlik markası gibi görünen sahte bir şirket açtığını da keşfetti. Şirketin web sitesinin, Fin7’nin komut ve kontrol merkezi olarak kullandığı bir sunucuya kayıtlı olduğu görüldü.

10-

Sahte şirket; serbest çalışan güvenlik araştırmacılarını, yazılım geliştiricileri ve çevirmenleri yasal iş bulma siteleri üzerinden işe almak için kullanıldı. Bu sahte şirketlerde çalışan bazı kişilerin siber suça karıştıklarından haberi olmadığı ve buradaki deneyimlerini öz geçmişlerine de yazdığı anlaşıldı.