- FIN7 (hay còn gọi là Carbanak) được biết đến với việc sử dụng một kho công cụ và chiến thuật tấn công phong phú, bao gồm việc sử dụng phần mềm tống tiền và thành lập các công ty bảo mật giả mạo để thu hút các nhà nghiên cứu thực hiện các cuộc tấn công thử nghiệm.

FIN7 đã tấn công hơn 8.147 mục tiêu trên toàn thế giới với động cơ tài chính, phần lớn các tổ chức ở Hoa Kỳ, Trung Quốc, Đức, Canada, Ý và Anh.

Trong những năm qua, các kỹ thuật xâm nhập của FIN7 đã đa dạng hóa hơn, ngoài kỹ thuật xã hội nhóm còn sử dụng các ổ USB độc hại để lây nhiễm, sử dụng thông tin đăng nhập bị đánh cắp được mua từ các thị trường đen.

Bên cạnh đó, nhóm cũng khai thác một số lỗ hổng bảo mật như lỗ hổng trong Microsoft Exchange CVE-2020-0688, CVE-2021-42321, ProxyLogon và ProxyShell.

Nhóm sử dụng các cuộc tấn công tống tiền để triển khai các backdoor SSH trên hệ thống bị xâm nhập. FIN7 sử dụng các dịch vụ như Dun & Bradstreet (DNS), Crunchbase, Owler và Zoominfo để lọt vào danh sách tầm ngắm của các công ty và tổ chức có doanh thu cao.

Nhóm cũng sử dụng các nền tảng phân tích trang web khác như MuStat và Similarweb để theo dõi lưu lượng truy cập vào các trang web của mục tiêu. Sau khi có quyền truy cập ban đầu, FIN7 lọc dữ liệu, mã hóa tệp và cuối cùng xác định số tiền chuộc dựa trên doanh thu của công ty. Các trình lây nhiễm này cũng được thiết kế để cài cắm các trojan truy cập từ xa như Carbanak, Lizar, IceBot.

FIN7 đã tự khẳng định mình là một nhóm APT cực kỳ linh hoạt và nhằm mục tiêu đến các công ty doanh nghiệp. Vì vậy, các cơ quan tổ chức cần quan tâm và luôn sẵn sàng các biện pháp phòng ngừa những mối đe dọa như thế này.

PV