Эксперты FireEye опубликовали отчет о деятельности хакерской группировки FIN6. В отчете сообщается, что злоумышленники из FIN6 сменили тактику - теперь вместо использования привычной PoS-малвари Trinity они начали применять шифровальщики Ryuk и LockerGoga.

Первые упоминания о группировке FIN6 были в совместном исследовании FireEye и iSight Partner, где FIN6 ''засветилась'' на масштабных хищениях финансовой информации - данные о банковских картах, полученные в результате атак на сектора розничной торговли и медицины. Эти данные продавались на черном рынке, что суммарно принесло хакерам миллионы долларов.

Основным ''рабочим инструментом'' группы является вредонос Trinity, чья деятельность направлена непосредственно против point-of-sale девайсов. Trinity собирает в зараженной системе широкий спектр различных данных, пакует информацию в ZIP-архивы и заливает их на хостинг, откуда информация уходит на управляющий сервер FIN6.

Теперь исследователи FireEye сообщают, что FIN6 изменили тактику: злоумышленники заражают скомпрометированные системы (не имеющие отношения к PoS) вымогательским ПО. С июля 2018 года атакующие используют для этих целей небезызвестные шифровальщики Ryuk и LockerGoga.

Шифровальщик LockerGoga совсем недавно использовался для атаки на одного из крупнейших производителей алюминия в мире, компанию Norsk Hydro, а также жертвами малвари, стали две крупные американские компании Hexion и Momentive, производящие силиконы, смолы.

Детальные отчеты об шифровальщике Ryuk в начале текущего года представили аналитики сразу нескольких компаний, включая Crowdstrike, FireEye, Kryptos Logic и McAfee. Перед новогодними праздниками шифровальщик атаковал крупные зарубежные СМИ, включая Wall Street Journal, New York Times, Los Angeles Times. В своих исследованиях специалисты пришли к выводу, что создатели Ryuk связаны с операторами вредоносов TrickBot и Emotet, у которых фактически арендуют инфраструктуру.

Что именно связывает группировку FIN6 с Ryuk и LockerGoga пока неясно. Исследователи FireEye полагают, что хакеры могли сменить ''почерк'' и теперь дополняют свои атаки вымогательством, но также возможно, что заражение шифровальщиками – лишь ''подработка'' некоторых членов группы, которая никак не связана с основной кибер-активностью группировки FIN6.