# FIN6 > [!danger] Grupo Financeiro — Evolução de Carding para Ransomware > **FIN6** (MITRE G0037) começou como grupo especializado em roubo de dados de cartões de crédito (PoS) e evoluiu para um dos maiores operadores de ransomware, distribuindo **Maze**, **Ryuk** e **CLOP**. Um dos principais parceiros de ransomware-as-a-service na Europa e Américas. ## Visão Geral O FIN6 é um grupo de crime cibernético financeiro originalmente especializado em roubo de dados de cartões de crédito via comprometimento de sistemas de ponto de venda (PoS). Identificado inicialmente em 2015, o grupo comprometeu milhões de registros de cartões através de ataques a redes varejistas e de hospitalidade. A partir de 2018-2019, o FIN6 expandiu significativamente seu portfólio operacional, tornando-se afiliado e operador de múltiplas famílias de ransomware: Maze, Ryuk, LockerGoga e posteriormente CLOP. Essa evolução representa a trajetória comum de grupos criminosos financeiros que migram para ransomware por seu maior retorno financeiro. O FIN6 opera com métodologia disciplinada: usa corretores de acesso inicial (IABs) para entrada nas redes, Cobalt Strike para movimento lateral, e implanta ransomware apenas após mapeamento completo do ambiente e exfiltração de dados para dupla extorsão. O grupo mantém acordos de afiliação com múltiplos operadores RaaS simultaneamente. Para o Brasil e a América Latina, o FIN6 representa risco para o setor varejista e de hospitalidade — especialmente redes com infraestrutura PoS legada e operações multinacionais com presença na Europa. ## Attack Flow ```mermaid flowchart LR A[Acesso Inicial\nCompra de acesso IAB\nSpear Phishing] --> B[Reconhecimento\nCobalt Strike\nBloodHound AD enum] B --> C[Movimento Lateral\nRDP / SMB\nPsExec / WMI] C --> D[Exfiltração\nDados de cartões\nArquivos corporativos] D --> E[Ransomware\nMaze / Ryuk / CLOP\nCriptografia ampla] E --> F[Dupla Extorsão\nLeak site\nNegociação] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | E-mails com lures financeiros / RH | | Serviços Remotos | [[t1021-remote-services\|T1021]] | RDP, SMB movimento lateral | | Ransomware | [[t1486-data-encrypted-for-impact\|T1486]] | Maze, Ryuk, CLOP implantação final | | PowerShell | [[t1059-command-and-scripting-interpreter\|T1059]] | Loaders, Empire, Cobalt Strike beacons | ## Detecção e Defesa - Monitorar uso de Cobalt Strike com detecção de beacons (IOCs públicos) - Segmentar redes de sistemas PoS do ambiente corporativo - Implementar detecção de bloodhound e ferramentas de enumeração AD - Aplicar [[m1030-network-segmentation|M1030]] para isolar caixas registradoras e terminais PoS - Monitorar [[ds0028-logon-session|DS0028]] para logins RDP em horários incomuns ## Referências - MITRE ATT&CK: [FIN6 G0037](https://attack.mitre.org/groups/G0037/) - Mandiant: FIN6 Cybercrime Group Profile (2016) - IBM X-Force: FIN6 transition to ransomware (2019) - CrowdStrike: Skeleton Spider — FIN6 profile (2020) - Sophos: FIN6 / GRACEFUL SPIDER LockerGoga campaigns (2019)