FIN-группа
Что такое FIN-группа?
FIN-группаОбозначение в стиле Mandiant для финансово мотивированной группы, чьи вторжения направлены против платёжных систем, ритейла, гостеприимства и финансовых учреждений.
Mandiant (ныне Google Threat Intelligence) использует префикс FIN для кластеров, чья основная мотивация — прибыль, в отличие от APT, обозначающего шпионаж. Известные примеры: FIN6 (данные карт с POS, затем участие в развёртывании ransomware), FIN7 (долгая carding и BEC-операция, публичные обвинения в США в 2018 году, эволюция в Carbanak/Carbon Spider), FIN8 (POS в гостеприимстве и ритейле, позже партнёр Ragnar Locker), FIN11 (оператор сайта утечек Cl0p, кампания MOVEit) и FIN12 (один из крупнейших развёртывателей ransomware). Кластеры различаются по инструментарию, артефактам kill chain, темам приманок, инфраструктуре и схемам обналичивания крипты. Часть FIN-групп со временем пересекается с государственными интересами; аналитики сохраняют имя до выполнения критериев «выпуска».
● Примеры
- 01
Участники FIN7 были арестованы и обвинены Минюстом США в 2018 году в карточном мошенничестве на десятки миллионов долларов.
- 02
FIN11 связывают с массовой кампанией Cl0p MOVEit Transfer 2023 года, затронувшей сотни жертв.
● Частые вопросы
Что такое FIN-группа?
Обозначение в стиле Mandiant для финансово мотивированной группы, чьи вторжения направлены против платёжных систем, ритейла, гостеприимства и финансовых учреждений. Относится к категории Защита и операции в кибербезопасности.
Что означает FIN-группа?
Обозначение в стиле Mandiant для финансово мотивированной группы, чьи вторжения направлены против платёжных систем, ритейла, гостеприимства и финансовых учреждений.
Как работает FIN-группа?
Mandiant (ныне Google Threat Intelligence) использует префикс FIN для кластеров, чья основная мотивация — прибыль, в отличие от APT, обозначающего шпионаж. Известные примеры: FIN6 (данные карт с POS, затем участие в развёртывании ransomware), FIN7 (долгая carding и BEC-операция, публичные обвинения в США в 2018 году, эволюция в Carbanak/Carbon Spider), FIN8 (POS в гостеприимстве и ритейле, позже партнёр Ragnar Locker), FIN11 (оператор сайта утечек Cl0p, кампания MOVEit) и FIN12 (один из крупнейших развёртывателей ransomware). Кластеры различаются по инструментарию, артефактам kill chain, темам приманок, инфраструктуре и схемам обналичивания крипты. Часть FIN-групп со временем пересекается с государственными интересами; аналитики сохраняют имя до выполнения критериев «выпуска».
Как защититься от FIN-группа?
Защита от FIN-группа обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия FIN-группа?
Распространённые альтернативные названия: FIN-кластер.
● Связанные термины
- defense-ops№ 057
APT-группа
Именованный и отслеживаемый субъект угроз (как правило, при государственной поддержке), ведущий целенаправленные, длительные и обеспеченные кампании против отдельных организаций или отраслей.
- defense-ops№ 1191
UNC-кластер (Uncategorized)
Рабочее обозначение Mandiant для набора связанных вторжений, чей актор, мотивация или спонсор пока не подтверждены настолько, чтобы повысить кластер до APT или FIN.
- defense-ops№ 901
Ransomware-группировка
Финансово мотивированная киберпреступная группа, разрабатывающая, эксплуатирующая или распространяющая шифровальщик ради вымогательства у организаций.
- defense-ops№ 1145
Субъект угрозы
Лицо или группа, целенаправленно причиняющая или пытающаяся причинить вред информационным системам, организациям или людям через киберопераций.
- defense-ops№ 1148
Threat Intelligence
Основанные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования.
- defense-ops№ 1131
Тактики, техники и процедуры (TTP)
Многоуровневое описание поведения злоумышленника: тактики (зачем), техники (как) и процедуры (конкретная реализация).