The Hacker Newsは12月22日(米国時間)、「FIN7 Cybercrime Syndicate Emerges as a Major Player in Ransomware Landscape」において、サイバー犯罪シンジケートとされている「FIN7」の調査結果を伝えた。「FIN7」の組織構造、ランサムウェア攻撃を行うアフィリエイトとしての役割、現在活動を停止しているランサムウェアファミリとの深い関連性などが報告されている。

FIN7(Carbanakとしても知られている)は、ロシア語を使用する活発な脅威グループとされ、ランサムウェアを戦略として利用したり、偽のセキュリティ企業を設立して研究者を誘い、侵入テストを装ってランサムウェア攻撃を行ったりするなど、幅広いツールや戦術を採用することで知られている。世界中で8000人以上の犠牲者が出ているといわれており、その多くは米国在住のユーザーとみられている。その他にも中国、ドイツ、カナダ、イタリア、英国などで被害が確認されている。

FIN7の侵入手法はこれまでソーシャルエンジニアリングとされていたが、USBメモリ、サプライチェーン攻撃、ダークWeb市場から購入した資格情報の使用など、年々攻撃が多様化してきていることが明らかにされている。最近では、Microsoft Exchangeの脆弱性(CVE-2020-0688、CVE-2021-42321、ProxyLogon、ProxyShellなどの欠陥)を悪用し、ターゲット環境への足がかりを得ていることが確認されている。

FIN7は非常に多才な持続的標的型攻撃(APT: Advanced Persistent Threat)グループと分析されている。収益性の高いターゲットをピンポイントで徹底的に調査するという特徴を持っており、サイバー犯罪の分野で強い存在感を確立することに成功していると結論付けられている。

ロシア語を話す脅威グループやロシア国家に関与しているとされる持続的標的型攻撃グループはセキュリティ企業の監視対象となることが多く、分析結果も公開されやすい。これらの脅威グループは主に米国や欧州連合の加盟国を標的にするが、日本もターゲットになることがある。そのため、セキュリティ対策を怠ることなく継続して実施することが重要とされている。