FIN6 cambia su estrategia y apuesta por el ransomware

El famoso grupo de cibercriminales, que tiene fama por robar datos de tarjetas bancarias en sistemas de puntos de venta (POS), al parecer hizo un cambio de estrategia -según afirma FireEye- y ahora está implementando ransomware en redes infectadas. 

No es primera vez que se habla de FIN6. De hace un par de años vienen haciendo ataques que les dan la fama de robar datos de tarjetas bancarias y venderlas haciéndolos millonarios.

En 2016 el grupo ya había desarrollado una versátil variedad de malware POS llamada Trinity (también conocida como FrameworkPOS). FIN6 entraría en las redes de las principales empresas de retail, infectando con este malware las computadoras que manejaban datos de POS, para así extraer los detalles de la tarjeta de pago, luego los cargarían en sus propios servidores.

FIN6 luego vendía estos datos y se llenaba los bolsillos de dólares.

Nueva estrategia

De acuerdo a un nuevo informe publicado por la compañía de seguridad FireEye, el grupo ahora también está implementando ransomware en redes infectadas pero que no manejan datos bancarios.

Según FireEye, desde julio de 2018, el grupo ha estado implementando las cepas de ransomware Ryuk y LockerGoga.

Ambas cepas han estado en el centro de una ola de infecciones de alto perfil que han paralizado a las agencias gubernamentales y grandes empresas del sector privado por igual, siendo la víctima más reciente Norsk Hydro.

Según informes anteriores de CrowdStrike, FireEye, Kryptos Logic, McAfee, IBM y Cybereason, se cree que el grupo opera fuera de Rusia, desde donde alquila la infraestructura de otros grupos (Emotet y TrickBot) para buscar grandes empresas que más tarde infectaría con Trinity, Ryuk o LockerGoga.

Así que si te preguntabas de dónde venían los ataques recientes a industrias, probablemente desde FIN6 🤷🏻‍♂️.