FIN7 пережила арест руководства

17 мая 2019

В прошлом году усилиями Европола и Министерства юстиции США было арестовано несколько киберпреступников, предположительно возглавлявших хакерские группировки FIN7 и Carbanak. СМИ моментально растиражировали новость о «гибели» этих преступных групп, но наши эксперты по-прежнему наблюдают признаки их деятельности. Более того, количество взаимосвязанных группировок, использующих схожий инструментарий и ту же самую инфраструктуру, продолжает расти. Вот список основных инструментов и приемов киберпреступников, а также ряд советов, как сохранить ваш бизнес в безопасности.

FIN7

FIN7 специализируется на краже финансовых данных компаний и получении нелегального доступа к инфраструктуре точек продаж. Группа использует целевой фишинг с применением сложных приемов социальной инженерии. Например, перед отправкой жертве вредоносных документов они могут обменяться с нею десятком «нормальных» сообщений, чтобы усыпить ее бдительность.

В большинстве случаев при атаках используются документы с макросами для установки на компьютер жертвы вредоносного ПО и создания повторяющихся задач, поддерживающих зловреда в рабочем состоянии. Затем зловред получает дополнительные модули и запускает их в системной памяти. Наши эксперты видели модули для сбора информации, загрузки дополнительного вредоносного ПО, создания скриншотов и сохранения в реестре резервной копии зловреда на случай обнаружения основной). Разумеется, в любой момент киберпреступники могут создать новые модули.

Группа CobaltGoblin/Carbanak/EmpireMonkey

Еще одни киберпреступники, использующие схожие инструменты и методы. Их основное отличие — цели атак. Эти специализируются на банках и разработчиках банковского и финансового ПО. Основная стратегия группировки Carbanak (также известной как CobaltGoblin и EmpireMonkey) — закрепиться в сетях компании-жертвы и затем осуществлять поиск компьютеров, содержащих информацию, которую можно было бы монетизировать.

Ботнет AveMaria

AveMaria — новый ботнет, используемый для кражи информации. После заражения компьютера он собирает всевозможные учетные данные из самых разных программ: браузеров, клиентов электронной почты, мессенджеров и так далее, а также работает кейлоггером.

Для доставки боевой нагрузки злоумышленники используют целевой фишинг, социальную инженерию и вредоносные вложения. Наши эксперты подозревают об их связи с Fin7 из-за схожести используемых методов и управляющей инфраструктуры. Еще одним признаком наличия такой связи является подбор целей: 30% — мелкие и средние компании, являющиеся поставщиками услуг для более крупных игроков, а 21% — различные производственные компании.

CopyPaste

Наши эксперты обнаружили следы преступной деятельности под кодовым названием CopyPaste, нацеленной на финансовые учреждения и компании одного африканского государства. Злоумышленники использовали ряд инструментов и методов, схожих с теми, что применяет Fin7. Однако есть вероятность, что эти киберпреступники воспользовались открытыми источниками и в действительности не связаны с FIN7.

Техническая информация, включая индикаторы компрометации, доступна на Securelist.com.

Как обезопасить себя

  • Используйте защитные решения, позволяющие обнаруживать и блокировать фишинг. Локальные системы электронной почты можно защитить при помощи специальных приложений в составе пакета Kaspersky Security для бизнеса.
  • Повышайте уровень осведомленности ваших сотрудников и обучайте их практическим навыкам противодействия атакам. Такие решения, как Kaspersky Automated Security Awareness Platform, закрепят у сотрудников навыки в сфере кибербезопасности.
  • Работа киберпреступных групп значительно упрощается, если их жертвы используют необновленные версии программного обеспечения. Чтобы ограничить возможности злоумышленников, следуйте надежной стратегии обновлений и используйте защитное решение, способное автоматически обновлять важное ПО, например тот же Kaspersky Security для бизнеса.