Ondanks de arrestatie van een aantal vermeende leiders van de beruchte Carbanak hackergroep Fin7, lijkt de groep door te gaan met zijn aanvallen. Nieuwe cyberaanvallen zijn ontdekt die lijken te zijn opgezet door de groep. HEt gaat hierbij om geavanceerde spear-phishing aanvallen en de verspreiding van GRIFFON-malware. Hiermee heeft de groep zo'n 130 bedrijven gedupeerd en miljoenen dollars aan financiële activa buitgemaakt. De ontdekte cyberaanvallen vonden eind 2018 plaats. Fin7 heeft zijn ledenaantal uitgebreid en het aantal groepen dat onder dezelfde paraplu opereert vergroot. Ook hebben de aanvallers een nepsecuritybedrijf opgericht.
Dit blijkt uit onderzoek van Kaspersky Lab. Onderzoekers van het beveiligingsbedrijf hebben cyberaanvallen van Fin7 opgespoord waarbij hackers eerst wekenlang via e-mails met beoogde slachtoffers hebben gecommuniceerd voordat de schadelijke documenten als bijlagen zijn verstuurd. Samen met de beruchte Carbanak-groep lijkt Fin7 achter aanvallen op Amerikaanse retail-, restaurant- en hospitality-sectoren te zitten sinds medio 2015. Beide groepen zouden gebruikmaken van elkaars tools en methoden. De focus van Carbanak ligt vooral op banken, terwijl Fin7 zich voornamelijk richt op organisaties met veel financiële middelen en gegevens. Zodra de cybercriminelen zich hebben ontfermd over beoogde informatie, wordt geld doorgesluisd naar buitenlandse rekeningen.
Ook hebben de onderzoekers ontdekt dat andere criminele teams onder de paraplu van Fin7 opereren. Het feit dat de infrastructuur wordt gedeeld en dezelfde tactieken, technieken en procedures worden toegepast, toont aan dat Fin7 waarschijnlijk samenwerkt met het AveMaria-botnet en groepen die bekend staan als CobaltGoblin/EmpireMonkey. Zij zitten vermoedelijk achter diverse Europese en Midden-Amerikaanse bankovervallen.
Kaspersky Lab stelt verder vast dat Fin7 een nepbedrijf heeft opgericht dat zich voordoet als leverancier van cybersecurityproducten en -diensten met filialen door heel Rusland. De bedrijfswebsite staat geregistreerd bij de server die Fin7 gebruikt als Command and Control Center (C&C). Het nepbedrijf is gebruikt om nietsvermoedende datalekonderzoekers, software-ontwikkelaars en tolken te werven via legitieme online vacaturesites. Het lijkt erop, dat mensen werkzaam zijn bij deze nepbedrijven zonder dat ze zichzelf bewust zijn van betrokkenheid bij cybercriminaliteit. Zo maken verschillende IT-professionals melding van hun dienstverband bij deze nepbedrijven op hun CV.
"Moderne cyberdreigingen zijn helaas te vergelijken met het veelkoppige mythische wezen Hydra van Lerna: hak één van zijn hoofden eraf en je krijgt er meteen twee voor terug", zegt Jornt van der Wiel, cybersecurity-expert bij Kaspersky Lab. "De implementatie van geavanceerde meerlaagse beveiliging is de beste manier ter bescherming tegen zo’n monster. Dus installeer altijd alle vrijgegeven softwarepatches en voer regelmatig beveiligingsanalyses uit op zowel het niveau van het netwerk, systemen als apparatuur."
Meer informatie is beschikbaar in het volledige rapport van Kaspersky Lab op Securelist.com.
