FIN6 kiberjinoyatchilar guruhi o’z arsenalini LockerGoga va Ryuk ransomware bilan kengaytirdi.
To’lov dasturini tarqatish qo’shimcha daromad manbai izlayotgan alohida guruh a’zolarining ishi bo’lishi mumkin.
PoS terminallariga hujumlari bilan mashhur bo’lgan FIN6 kiberjinoyatchilar guruhi o’z faoliyatini LockerGoga va Ryuk ransomware dasturlarini ham qamrab olish uchun kengaytirdi. FireEye tadqiqotchilari ushbu zararli dasturlardan foydalangan holda bir nechta bog’liq bo’lmagan hujumlarni tekshirish paytida guruhning xatti-harakatlaridagi o’zgarishlarni payqashdi. Tahlil davomida ular FIN6 ning ishtirokini ko’rsatadigan bir nechta ko’rsatkichlarni aniqladilar. Hujumlar 2018-yil iyul oyida boshlangan va o’sha paytda guruhning PoS terminallariga hujumlari sezilarli darajada kamaygan. Mutaxassislar zarar ko’rgan kompaniyalarning nomlarini oshkor qilmadilar, ammo yo’qotishlar o’n millionlab dollarni tashkil etganini aniqladilar. Tadqiqotchilarning fikricha, yangi hujumlar va FIN6 ning avvalgi faoliyati o’rtasidagi taktikalardagi farqlarni hisobga olgan holda, ransomware tarqatish qo’shimcha daromad izlayotgan guruhning alohida a’zolarining ishi bo’lishi mumkin.
Jabrlanuvchining tarmog’iga kirib borgandan so’ng, tajovuzkorlar turli xil vositalardan foydalangan holda razvedka ishlarini olib boradilar: o’g’irlangan hisob ma’lumotlari, Cobalt Strike, Metasploit, AdFind va 7-Zip. Tarmoqni rivojlantirish RDP masofaviy ulanish protokoli orqali amalga oshiriladi. Ulanish o’rnatilgandan so’ng, tajovuzkorlar ikkita usuldan foydalanadilar: birinchisi, shifrlangan buyruqlarni bajarish uchun PowerShelldan foydalanish, buzilgan tizimga Cobalt Strike kiritish va zararli dasturlarni yuklab olish. Ikkinchisi, PowerShell buyruqlarini bajarish va buyruq va boshqaruv serveridan qo’shimcha zararli modullarni yuklab olish uchun tasodifiy Windows xizmatlarini yaratishni o’z ichiga oladi. 7-Zip yordamida o’g’irlangan ma’lumotlar siqiladi va keyin C&C serveriga yuboriladi.
