Ondanks arrestatie dupeert hackersgroep Fin7 opnieuw meer dan 130 bedrijven

Utrecht, 23 mei 2019 – Ondanks de arrestatie van een aantal vermeende leiders van de beruchte Carbanak hackergroep Fin7 hebben Kaspersky Lab onderzoekers nieuwe cyberaanvallen opgespoord die wijzen op dezelfde oorsprong. Dit betreft geavanceerde spear-phishing acties en verspreiding van GRIFFON-malware op zo’n 130 gedupeerde bedrijven met een mogelijke buit van miljoenen dollars aan financiële activa zoals creditcard- en bankgegevens op computers van financiële afdelingen. Deze cyberaanvallen hebben eind 2018 plaatsgevonden. Kaspersky Lab-experts menen dat Fin7 het aantal groepen dat onder dezelfde paraplu opereert heeft uitgebreid en een nepsecuritybedrijf heeft opgericht.

Kaspersky Lab heeft cyberaanvallen van Fin7 opgespoord waarbij hackers eerst wekenlang via e-mails met beoogde slachtoffers hebben gecommuniceerd voordat de schadelijke documenten als bijlagen zijn verstuurd. Samen met de beruchte Carbanak-groep lijkt Fin7 achter aanvallen op Amerikaanse retail-, restaurant- en hospitality-sectoren te zitten sinds medio 2015. Beide groepen zouden gebruikmaken van elkaars tools en methoden. De focus van Carbanak ligt vooral op banken, terwijl Fin7 zich voornamelijk richt op organisaties met veel financiële middelen en gegevens. Zodra de cybercriminelen zich hebben ontfermd over beoogde informatie, wordt geld doorgesluisd naar buitenlandse rekeningen.

Ook hebben de onderzoekers ontdekt dat andere criminele teams onder de paraplu van Fin7 opereren. Het feit dat de infrastructuur wordt gedeeld en dezelfde tactieken, technieken en procedures worden toegepast, toont aan dat Fin7 waarschijnlijk samenwerkt met het AveMaria-botnet en groepen die bekend staan als CobaltGoblin/EmpireMonkey. Zij zitten vermoedelijk achter diverse Europese en Midden-Amerikaanse bankovervallen.

Kaspersky Lab stelt verder vast dat Fin7 een nepbedrijf heeft opgericht dat zich voordoet als leverancier van cybersecurityproducten en -diensten met filialen door heel Rusland. De bedrijfswebsite staat geregistreerd bij de server die Fin7 gebruikt als Command and Control Center (C&C). Het nepbedrijf is gebruikt om nietsvermoedende datalekonderzoekers, software-ontwikkelaars en tolken te werven via legitieme online vacaturesites. Het lijkt erop, dat mensen werkzaam zijn bij deze nepbedrijven zonder dat ze zichzelf bewust zijn van betrokkenheid bij cybercriminaliteit. Zo maken verschillende IT-professionals melding van hun dienstverband bij deze nepbedrijven op hun CV.

"Moderne cyberdreigingen zijn helaas te vergelijken met het veelkoppige mythische wezen Hydra van Lerna: hak één van zijn hoofden eraf en je krijgt er meteen twee voor terug”, zegt Jornt van der Wiel, cybersecurity-expert bij Kaspersky Lab. De implementatie van geavanceerde meerlaagse beveiliging is de beste manier ter bescherming tegen zo’n monster. Dus installeer altijd alle vrijgegeven softwarepatches en voer regelmatig beveiligingsanalyses uit op zowel het niveau van het netwerk, systemen als apparatuur.”

Meer informatie is beschikbaar in het volledige rapport op Securelist.com.