Впервые активность хакерской группировки FIN6 была зафиксирована в прошлом году. Хакеры устанавливали вредоносное программное обеспечение на терминалы в магазинах и гостиницах. Эксперты FireEye подготовили отчет об активности кардеров и методике их работы.
Как указано в отчете, преступники имели полный контроль над корпоративными сетями и пользовались валидными учетными данными для доступа к компьютерам. Вероятно, учетная информация была украдена хакерами из другой группировки с использованием вредоносной программы Grabnew и затем была продана членам FIN6.
После того, как хакеры из FIN6 получили доступ к сети, они пользовались компонентами Metasploit Framework, чтобы повышать свои привилегии на компьютерах и устанавливать бэкдоры. Далее происходил непосредственно взлом POS-терминалов. Чтобы похищать данные с пластиковых карт, хакеры пользовались вредоносной программой FrameworkPOS.
В ходе исследования выяснилось, что злоумышленники установили вредоносное программное обеспечение почти на 2000 терминалов и скопировали платежные данные с 20 миллионов карт.
В 2014 году эта информация была выставлена на продажу по средней цене в 21 доллар за одну запись.