Mutt
Professional
- Messages
- 1,199
- Reaction score
- 854
- Points
- 113
Как кардеры украли 15 миллионов кредиток из ресторанов.
В этой теме — шокирующая история одной из самых опасных кардерских групп в мире: Fin7. Как им удалось взломать рестораны, кафе, и украсть 15 миллионов банковских карт по всему миру? Кто стоит за атакой? Почему даже McDonald’s и Chili’s оказались под ударом? И как ФБР вышло на след преступников?
Мы разобрали:
- Методы взлома POS-терминалов
- Как хакеры маскировались под IT-компанию
- Кто руководил операцией
- Почему Fin7 до сих пор остаются опасными
Содержание:
– Введение: обычная ситуация и неожиданные последствия
– Кто такие Fin7
— Масштабы атак и пострадавшие сети
– 15 миллионов карт и миллиард убытков
– Весна 2015: Первые признаки атаки
– Аномалии в POS-терминалах, странный .doc-файл.
– Цепочка компаний с одинаковыми симптомами
– Анализ вредоносного кода
– Скрытность, шифровка, обновления
– FireEye и Trustwave начинают расследование
– Первая зацепка: IP из Украины
– Связь с удалённым сервером. Начало слежки.
– Механика атак: продвинутый фишинг
– Письма от HR, бухгалтерии, тендеров
– Массовость, точность, управление как проектом
– Февраль 2017: Утечка из Arby’s и появление имени Fin7
– 355 000 карт
– FIN7 — внутреннее название от аналитиков
– Дмитрий Федоров (Аква): ключевая фигура
– Координация, управление, обучение сотрудников
– Комби Секьюрити: прикрытие легальной компанией
– Сайт, вакансии, набор разработчиков через LinkedIn
– Разработчики не знали, что работают на хакеров
– Fin7 как IT-стартап
– Роли: разработчики, маркетологи, инженеры, менеджеры
– Распределение задач и отчётность
– Инструменты и маскировка
– Карбанак, Bateler, PowerShell, PDF, JPEG
– Шифровка, обходы антивирусов
– Почему схема работала
– Слабое звено — человек
– Хороший английский, правдоподобные письма
– Пример атаки: заражение через Word-документ
– Спэар Фишинг, изучение компании
– Макросы, эксплойты, установка софта
– Что воровали и куда передавали
– Имя, номер, срок действия, CVV
– Хранилища Fin7
– Масштабы ущерба
– 100+ компаний, 6 500 терминалов, $1 млрд убытков
– Продажа карт в даркнете $10–50 за карту, обналичка, техника, онлайн-покупки
– Методы сокрытия
– TOR, прокси, VPN, самоуничтожение, изменяемый код
– Прокол #1: Украинский IP и связанные домены
– Ошибка оператора. Связанные шаблоны, e-mail администратора.
– Прокол #2: Утечка переписки
– Зарплаты, IP, Excel с картами — доказательства для ФБР
– Остальные арестованные – Богачёв, Колпаков, фрилансеры
– Сотрудничество со следствием
– Последствия
– 10+ арестов, изъятие серверов
– Fin7 как структура исчезает, участники — в других группах
Ты заходишь в Макдональдс после работы, покупаешь себе поесть и оплачиваешь картой. Через неделю твой банк блокирует карту. Кто-то только что купил ноутбук на твои деньги.
Знакомьтесь, группировка Fin7. Их связывают с Украиной из-за IP-адресов, но в группе могли участвовать и граждане других стран, например из России. Национальность всех участников не подтверждена. Они создавали подставные компании, нанимали разработчиков через LinkedIn.
И десятками тысяч собирали то, что у всех нас под рукой. Кредитки. На пике своей активности они имели доступ к тысячам POS-терминалов по всей Америке. У них была своя бухгалтерия и даже отдел кадров. Они вели себя как IT-компания, но работали как мафия. В общей сложности более 15 миллионов карт. Ущерб свыше одного миллиарда долларов. И все это без единого взлома банка.
Только рестораны, только фишинг. Весна 2015 года. В IT-отделе одной сети ресторанов США забили тревогу. POS-терминалы начали вести себя странно. Запаздывают транзакции, появляются неизвестные процессы, система вдруг перезагружается. Без причины. Служба безопасности находит странный файл в одной из систем. Вроде обычный док, но открытие этого документа активирует вредоносный код.
Начинается внутреннее расследование. А через несколько недель еще одна компания сообщает о подобной аномалии. И потом еще. И еще. Чипотл. Делли. Джейсон. Рэд Робин. Клиенты этих сетей начали массово жаловаться на мошеннические списания с карт после обычного ужина или обеда. Что увидели эксперты? Код, заражающий POS-систему, был изощрён. Он умел скрываться, шифровал трафик, регулярно обновлялся.
Именно тогда исследователи из FireEye начали подозревать, что перед ними не один кардер, а группировка с огромными ресурсами. Первая нить — метка в коде. В одном из образцов нашли зацепку. Вредонос связывался с удаленным сервером, IP которого ввел в Украину. Это стало первой зацепкой, указывающей на источник атаки. Казалось бы, просто фишинговая атака. Механика была банальной. Жертве приходило письмо с вложением, якобы от бухгалтерии, или HR, или по поводу тендера.
Файл открывался и заражал систему. Но масштаб и стабильность атак настораживали. Одно и то же вредоносное ПО появлялось в десятках компаний. Отправители писем были идеально замаскированы патриальных партнеров или подрядчиков. Атаки шли сериями, словно по расписанию. Кто-то вел атаки как проект, кто-то раздавал задачи, ставил сроки и проверял результаты. Финальная точка – Арбис. Февраль 2017 года.
Сеть ресторанов Арбис официально сообщает, в результате утечки скомпрометированы данные 355 тысяч клиентов. После этого случая расследование получает имя «Fin7». Это внутреннее обозначение группы от аналитиков. «Fin» — от слова «финансовые угрозы». «7» — седьмое по счету расследования компании. Это имя закрепится за группой в СМИ и отчетах спецслужб. Но тогда еще никто не знал, насколько глубоко они пустили корни.
Уже в 2018 году ФБР идентифицирует одного из ключевых координаторов. Дмитрий Федорович — гражданин Украины. В некоторых документах проходит как «АКВА» — кардерский псевдоним. Он не просто писал код. Он управлял структурой, координировал атаки, обучал персонал, следил за качеством выполнения заданий. Самое интересное, Fin7 действовали под прикрытием белой фирмы. Они создали компанию комби-секьюрити, якобы легального поставщика IT-услуг. Сайт, почта, вакансии.
Разработчики нанимались на удаленку через LinkedIn, Freelance и Upwork. Им предлагали писать скрипты, не объясняя, что эти скрипты — часть фишинговых атак. Многие сотрудники даже не знали, что работают на кардерскую группировку. FinSeven был похож на стартапы. Разработчики создавали фишинговые документы, подстраиваясь под цели. Маркетологи готовили рассылки от имени бухгалтерии, отдела кадров и даже госструктур. Инженеры тестировали вирус в песочнице перед запуском в реальную сеть.
Менеджеры отслеживали прогресс по целям, напоминали о дедлайнах и составляли отчеты. У каждого была своя зона ответственности. Отладка и адаптация. Fin7 постоянно модернизировали свои инструменты. Один из самых известных – Carbanak, а позже – его собственные форки под нужды POS. Они маскировали вредоносцы под word-документы, PDF, даже JPEG, использовали легальные инструменты Windows, PowerShell для сокрытия активности, внедряли обходы антивирусов и шифровали трафик для незаметности.
Когда заражение происходило, к делу подключались живые операторы. Они устанавливали соединения через RevelShell – это способ, которым хакер или программа может получить удаленный доступ к компьютеру жертвы. Устанавливали дополнительные утилиты, начинали поиск нужных файлов, в частности баз данных с номерами карт. Иногда заражение длилось днями и неделями, а они не спешили.
Главное – оставаться незаметным. Почему это работало? Fin7 знали, что самое слабое звено любой системы – это человек. Они использовали социальную инженерию, фейковые письма, Хорошую английскую и грамотную структуру писем, массовость. За один раз могли разослать тысячи зараженных писем. Представь, ты управляешь сетью ресторанов. У тебя десятки терминалов, POS-систем, подключенных к локальной сети.
И однажды кто-то из сотрудников открывает письмо «Счет за поставку овощей. Срочно к оплате». Вложение — word-документ. Открывается, и ничего не происходит. На первый взгляд. Но в этот момент внутри системы уже живет вирус. Маленький, почти невидимый как шпион. Основной метод – Spare Phishing, т.е. адресная атака. Fin7 не просто рассылали спам, они изучали цель, название компании, фамилии, имена и отчества сотрудников, партнеров и поставщиков, стиль внутренней переписки.
Письма приходили от реалистичных отправителей. Люди открывали такие письма не задумываясь. После открытия документа активировался скрипт, например через вредоносные макросы Word или уязвимости Windows. Устанавливался один из инструментов Fin7. Battler – шпионский софт, написанный на PowerShell. Carbonac – универсальный рад, удаленный доступ. Дополнительные плагины, кейлоггеры, дамперы-пароли, снифферы – все это позволяло Fin7 получить полный контроль над зараженной машиной.
Основная цель – пост-терминалы, то есть то, через что проходят банковские карты клиентов. Fin7 пробирались в локальную сеть, сканировали, где стоят пост-модули, Устанавливали туда RAM-скраппер, программу, которая в реальном времени считывает данные с карты, прямо из оперативной памяти. Почему из памяти? Потому что даже зашифрованные данные карты временно попадают в открытую RAM во время транзакции.
И это окно – то, что Fin7 использовали. Что они воровали? Имя карты, имя владельца, номер карты, срок действия – CVV, если был доступ, местоположение и название ресторана. Эти данные стекались в централизованные хранилища, которые Fin7 тщательно маскировали.
По отчетам Додж, более ста компаний пострадали, шесть с половиной тысяч POS-терминалов были заражены, более пятнадцати миллионов карт украдены, потери компаний и банков более одного миллиарда долларов, и все это в течение трех лет в фоновом режиме, без стрельбы, взломов и грабежей. Дальше включалась другая часть Fin7 – партнеры из Даркнета. Карты продавались на форумах вроде Joker Stash и CarderPlanet. Средняя цена от 10 до 50 долларов за карту, в зависимости от типа и баланса. Их покупали обнальщики. Карты использовались для покупки техники и перепродажи, снятия налички, заказов в онлайн-магазинах, особенно в странах с плохой системой антифрода.
Fin7 умело скрывали свои действия. Использовали тор, прокси и VPN, устанавливали таймеры самоуничтожения во вредоносах. Код программ постоянно менялся, чтобы антивирусы не успевали адаптироваться. Вся операция могла длиться неделю, и жертва ничего не замечала. Это была не атака, это была оккупация.
Fin7 были уверены — они неуловимы. Защищены VPN-ами, фальшивыми компаниями и анонимностью Даркнета. Но, как это обычно бывает, они допустили ошибки. Прокол номер один — повторяющиеся IP и домены. Fin7 тщательно маскировались. Но в одной из атак оператор не сменил прокси, и IP оказался украинским, с доступом к панели управления вредоносым. Позже нашлись связанные домены, зарегистрированные на подставные личности, но с одинаковыми шаблонами.
Один из серверов хостился в США, и по нему вышли на email администратора. Прокол номер два. Утечка переписки. Один из аналитиков FireEye получил доступ к внутренней переписке FinSeven, где обсуждались зарплаты разработчиков, статус и задач, IP, адреса и пароли, да даже файлы с учетом добытых карт. Этот массив стал ключевым доказательством для ФБР.
В 2018 году в Испании задерживают Дмитрия Федоровича, АКВА, того самого координатора и менеджера проектов FinSeven. Его арест – результат операции ФБР и Европола. Федорович был экстрадирован в США. На допросах он не признал вину, но следствие уже имело десятки гигабайт доказательств. Вскоре были арестованы Федор Богачев, не путать с автором «Зевс», однофамилец, айтишник, делавший скрипты для Battle.Air. Андрей Колпаков, технический лидер, управлял несколькими группами в комбе-секьюрити.
Несколько украинских фрилансеров, нанятых через Upwork, они даже не подозревали, что пишет вредонос. Некоторые участники FinSeven сотрудничали со следствием в обмен на смягчение приговора. Впоследствии в общей сложности арестовано более десяти ключевых участников. FinSeven частично перестала существовать как организация, но отдельные ее члены позднее всплыли в других группировках – в Revel, DarkSide, BlackBuster.
Украинская спецслужба кибербезопасности официально участвовала в операции. Были обыски и допросы внутри страны. В 2022 году было замечено, что группа с аналогичной структурой вновь начала фишинговые атаки на рестораны и отели в США. Их инструменты напоминали до боли знакомые макросы – троянные методы lateral movement. Простыми словами, это как если бы вор пробрался в один дом в районе, а потом начал искать пути, чтобы незаметно зайти в соседние дома, используя, например, общие заборы или окна.
В случае с компьютерами хакер или кардер может использовать украденные пароли, уязвимости в софте или внутренние сетевые соединения, чтобы добраться до более важных целей. Эксперты предположили, это может быть реинкарнация Fencella или работа их бывших участников.
В этой теме — шокирующая история одной из самых опасных кардерских групп в мире: Fin7. Как им удалось взломать рестораны, кафе, и украсть 15 миллионов банковских карт по всему миру? Кто стоит за атакой? Почему даже McDonald’s и Chili’s оказались под ударом? И как ФБР вышло на след преступников?
Мы разобрали:
- Методы взлома POS-терминалов
- Как хакеры маскировались под IT-компанию
- Кто руководил операцией
- Почему Fin7 до сих пор остаются опасными
Содержание:
– Введение: обычная ситуация и неожиданные последствия
– Кто такие Fin7
— Масштабы атак и пострадавшие сети
– 15 миллионов карт и миллиард убытков
– Весна 2015: Первые признаки атаки
– Аномалии в POS-терминалах, странный .doc-файл.
– Цепочка компаний с одинаковыми симптомами
– Анализ вредоносного кода
– Скрытность, шифровка, обновления
– FireEye и Trustwave начинают расследование
– Первая зацепка: IP из Украины
– Связь с удалённым сервером. Начало слежки.
– Механика атак: продвинутый фишинг
– Письма от HR, бухгалтерии, тендеров
– Массовость, точность, управление как проектом
– Февраль 2017: Утечка из Arby’s и появление имени Fin7
– 355 000 карт
– FIN7 — внутреннее название от аналитиков
– Дмитрий Федоров (Аква): ключевая фигура
– Координация, управление, обучение сотрудников
– Комби Секьюрити: прикрытие легальной компанией
– Сайт, вакансии, набор разработчиков через LinkedIn
– Разработчики не знали, что работают на хакеров
– Fin7 как IT-стартап
– Роли: разработчики, маркетологи, инженеры, менеджеры
– Распределение задач и отчётность
– Инструменты и маскировка
– Карбанак, Bateler, PowerShell, PDF, JPEG
– Шифровка, обходы антивирусов
– Почему схема работала
– Слабое звено — человек
– Хороший английский, правдоподобные письма
– Пример атаки: заражение через Word-документ
– Спэар Фишинг, изучение компании
– Макросы, эксплойты, установка софта
– Что воровали и куда передавали
– Имя, номер, срок действия, CVV
– Хранилища Fin7
– Масштабы ущерба
– 100+ компаний, 6 500 терминалов, $1 млрд убытков
– Продажа карт в даркнете $10–50 за карту, обналичка, техника, онлайн-покупки
– Методы сокрытия
– TOR, прокси, VPN, самоуничтожение, изменяемый код
– Прокол #1: Украинский IP и связанные домены
– Ошибка оператора. Связанные шаблоны, e-mail администратора.
– Прокол #2: Утечка переписки
– Зарплаты, IP, Excel с картами — доказательства для ФБР
– Остальные арестованные – Богачёв, Колпаков, фрилансеры
– Сотрудничество со следствием
– Последствия
– 10+ арестов, изъятие серверов
– Fin7 как структура исчезает, участники — в других группах
Ты заходишь в Макдональдс после работы, покупаешь себе поесть и оплачиваешь картой. Через неделю твой банк блокирует карту. Кто-то только что купил ноутбук на твои деньги.
Знакомьтесь, группировка Fin7. Их связывают с Украиной из-за IP-адресов, но в группе могли участвовать и граждане других стран, например из России. Национальность всех участников не подтверждена. Они создавали подставные компании, нанимали разработчиков через LinkedIn.
И десятками тысяч собирали то, что у всех нас под рукой. Кредитки. На пике своей активности они имели доступ к тысячам POS-терминалов по всей Америке. У них была своя бухгалтерия и даже отдел кадров. Они вели себя как IT-компания, но работали как мафия. В общей сложности более 15 миллионов карт. Ущерб свыше одного миллиарда долларов. И все это без единого взлома банка.
Только рестораны, только фишинг. Весна 2015 года. В IT-отделе одной сети ресторанов США забили тревогу. POS-терминалы начали вести себя странно. Запаздывают транзакции, появляются неизвестные процессы, система вдруг перезагружается. Без причины. Служба безопасности находит странный файл в одной из систем. Вроде обычный док, но открытие этого документа активирует вредоносный код.
Начинается внутреннее расследование. А через несколько недель еще одна компания сообщает о подобной аномалии. И потом еще. И еще. Чипотл. Делли. Джейсон. Рэд Робин. Клиенты этих сетей начали массово жаловаться на мошеннические списания с карт после обычного ужина или обеда. Что увидели эксперты? Код, заражающий POS-систему, был изощрён. Он умел скрываться, шифровал трафик, регулярно обновлялся.
Именно тогда исследователи из FireEye начали подозревать, что перед ними не один кардер, а группировка с огромными ресурсами. Первая нить — метка в коде. В одном из образцов нашли зацепку. Вредонос связывался с удаленным сервером, IP которого ввел в Украину. Это стало первой зацепкой, указывающей на источник атаки. Казалось бы, просто фишинговая атака. Механика была банальной. Жертве приходило письмо с вложением, якобы от бухгалтерии, или HR, или по поводу тендера.
Файл открывался и заражал систему. Но масштаб и стабильность атак настораживали. Одно и то же вредоносное ПО появлялось в десятках компаний. Отправители писем были идеально замаскированы патриальных партнеров или подрядчиков. Атаки шли сериями, словно по расписанию. Кто-то вел атаки как проект, кто-то раздавал задачи, ставил сроки и проверял результаты. Финальная точка – Арбис. Февраль 2017 года.
Сеть ресторанов Арбис официально сообщает, в результате утечки скомпрометированы данные 355 тысяч клиентов. После этого случая расследование получает имя «Fin7». Это внутреннее обозначение группы от аналитиков. «Fin» — от слова «финансовые угрозы». «7» — седьмое по счету расследования компании. Это имя закрепится за группой в СМИ и отчетах спецслужб. Но тогда еще никто не знал, насколько глубоко они пустили корни.
Уже в 2018 году ФБР идентифицирует одного из ключевых координаторов. Дмитрий Федорович — гражданин Украины. В некоторых документах проходит как «АКВА» — кардерский псевдоним. Он не просто писал код. Он управлял структурой, координировал атаки, обучал персонал, следил за качеством выполнения заданий. Самое интересное, Fin7 действовали под прикрытием белой фирмы. Они создали компанию комби-секьюрити, якобы легального поставщика IT-услуг. Сайт, почта, вакансии.
Разработчики нанимались на удаленку через LinkedIn, Freelance и Upwork. Им предлагали писать скрипты, не объясняя, что эти скрипты — часть фишинговых атак. Многие сотрудники даже не знали, что работают на кардерскую группировку. FinSeven был похож на стартапы. Разработчики создавали фишинговые документы, подстраиваясь под цели. Маркетологи готовили рассылки от имени бухгалтерии, отдела кадров и даже госструктур. Инженеры тестировали вирус в песочнице перед запуском в реальную сеть.
Менеджеры отслеживали прогресс по целям, напоминали о дедлайнах и составляли отчеты. У каждого была своя зона ответственности. Отладка и адаптация. Fin7 постоянно модернизировали свои инструменты. Один из самых известных – Carbanak, а позже – его собственные форки под нужды POS. Они маскировали вредоносцы под word-документы, PDF, даже JPEG, использовали легальные инструменты Windows, PowerShell для сокрытия активности, внедряли обходы антивирусов и шифровали трафик для незаметности.
Когда заражение происходило, к делу подключались живые операторы. Они устанавливали соединения через RevelShell – это способ, которым хакер или программа может получить удаленный доступ к компьютеру жертвы. Устанавливали дополнительные утилиты, начинали поиск нужных файлов, в частности баз данных с номерами карт. Иногда заражение длилось днями и неделями, а они не спешили.
Главное – оставаться незаметным. Почему это работало? Fin7 знали, что самое слабое звено любой системы – это человек. Они использовали социальную инженерию, фейковые письма, Хорошую английскую и грамотную структуру писем, массовость. За один раз могли разослать тысячи зараженных писем. Представь, ты управляешь сетью ресторанов. У тебя десятки терминалов, POS-систем, подключенных к локальной сети.
И однажды кто-то из сотрудников открывает письмо «Счет за поставку овощей. Срочно к оплате». Вложение — word-документ. Открывается, и ничего не происходит. На первый взгляд. Но в этот момент внутри системы уже живет вирус. Маленький, почти невидимый как шпион. Основной метод – Spare Phishing, т.е. адресная атака. Fin7 не просто рассылали спам, они изучали цель, название компании, фамилии, имена и отчества сотрудников, партнеров и поставщиков, стиль внутренней переписки.
Письма приходили от реалистичных отправителей. Люди открывали такие письма не задумываясь. После открытия документа активировался скрипт, например через вредоносные макросы Word или уязвимости Windows. Устанавливался один из инструментов Fin7. Battler – шпионский софт, написанный на PowerShell. Carbonac – универсальный рад, удаленный доступ. Дополнительные плагины, кейлоггеры, дамперы-пароли, снифферы – все это позволяло Fin7 получить полный контроль над зараженной машиной.
Основная цель – пост-терминалы, то есть то, через что проходят банковские карты клиентов. Fin7 пробирались в локальную сеть, сканировали, где стоят пост-модули, Устанавливали туда RAM-скраппер, программу, которая в реальном времени считывает данные с карты, прямо из оперативной памяти. Почему из памяти? Потому что даже зашифрованные данные карты временно попадают в открытую RAM во время транзакции.
И это окно – то, что Fin7 использовали. Что они воровали? Имя карты, имя владельца, номер карты, срок действия – CVV, если был доступ, местоположение и название ресторана. Эти данные стекались в централизованные хранилища, которые Fin7 тщательно маскировали.
По отчетам Додж, более ста компаний пострадали, шесть с половиной тысяч POS-терминалов были заражены, более пятнадцати миллионов карт украдены, потери компаний и банков более одного миллиарда долларов, и все это в течение трех лет в фоновом режиме, без стрельбы, взломов и грабежей. Дальше включалась другая часть Fin7 – партнеры из Даркнета. Карты продавались на форумах вроде Joker Stash и CarderPlanet. Средняя цена от 10 до 50 долларов за карту, в зависимости от типа и баланса. Их покупали обнальщики. Карты использовались для покупки техники и перепродажи, снятия налички, заказов в онлайн-магазинах, особенно в странах с плохой системой антифрода.
Fin7 умело скрывали свои действия. Использовали тор, прокси и VPN, устанавливали таймеры самоуничтожения во вредоносах. Код программ постоянно менялся, чтобы антивирусы не успевали адаптироваться. Вся операция могла длиться неделю, и жертва ничего не замечала. Это была не атака, это была оккупация.
Fin7 были уверены — они неуловимы. Защищены VPN-ами, фальшивыми компаниями и анонимностью Даркнета. Но, как это обычно бывает, они допустили ошибки. Прокол номер один — повторяющиеся IP и домены. Fin7 тщательно маскировались. Но в одной из атак оператор не сменил прокси, и IP оказался украинским, с доступом к панели управления вредоносым. Позже нашлись связанные домены, зарегистрированные на подставные личности, но с одинаковыми шаблонами.
Один из серверов хостился в США, и по нему вышли на email администратора. Прокол номер два. Утечка переписки. Один из аналитиков FireEye получил доступ к внутренней переписке FinSeven, где обсуждались зарплаты разработчиков, статус и задач, IP, адреса и пароли, да даже файлы с учетом добытых карт. Этот массив стал ключевым доказательством для ФБР.
В 2018 году в Испании задерживают Дмитрия Федоровича, АКВА, того самого координатора и менеджера проектов FinSeven. Его арест – результат операции ФБР и Европола. Федорович был экстрадирован в США. На допросах он не признал вину, но следствие уже имело десятки гигабайт доказательств. Вскоре были арестованы Федор Богачев, не путать с автором «Зевс», однофамилец, айтишник, делавший скрипты для Battle.Air. Андрей Колпаков, технический лидер, управлял несколькими группами в комбе-секьюрити.
Несколько украинских фрилансеров, нанятых через Upwork, они даже не подозревали, что пишет вредонос. Некоторые участники FinSeven сотрудничали со следствием в обмен на смягчение приговора. Впоследствии в общей сложности арестовано более десяти ключевых участников. FinSeven частично перестала существовать как организация, но отдельные ее члены позднее всплыли в других группировках – в Revel, DarkSide, BlackBuster.
Украинская спецслужба кибербезопасности официально участвовала в операции. Были обыски и допросы внутри страны. В 2022 году было замечено, что группа с аналогичной структурой вновь начала фишинговые атаки на рестораны и отели в США. Их инструменты напоминали до боли знакомые макросы – троянные методы lateral movement. Простыми словами, это как если бы вор пробрался в один дом в районе, а потом начал искать пути, чтобы незаметно зайти в соседние дома, используя, например, общие заборы или окна.
В случае с компьютерами хакер или кардер может использовать украденные пароли, уязвимости в софте или внутренние сетевые соединения, чтобы добраться до более важных целей. Эксперты предположили, это может быть реинкарнация Fencella или работа их бывших участников.
