FIN11黑客组织加入勒索软件赚钱计划,FIN11活动分析


FIN11黑客组织加入勒索软件赚钱计划,FIN11活动分析文章插图
【FIN11黑客组织加入勒索软件赚钱计划,FIN11活动分析】FIN11是一个有经济动机的黑客组织 , 其历史至少从2016年开始 , 它已经调整了恶意电子邮件活动 , 将其转变为勒索软件作为主要的盈利方式 。
该集团运营着大量业务 , 最近主要针对北美和欧洲几乎所有行业部门的公司窃取数据和部署Clop勒索软件 。
黑客早期的恶意活动主要集中在金融、零售和餐饮业的组织上 。 在过去的几年里 , FIN11的攻击在受害者类型和地理位置上都更加不分青红皂白 。
从8月开始 , 网络犯罪分子攻击了国防、能源、金融、医疗/制药、法律、电信、技术和运输部门的组织 。
FireEye公司Mandiant的安全研究人员告诉BleepingComputer , FIN11的目标是向受害者发送恶意电子邮件 , 并分发他们跟踪的恶意软件下载程序FRIENDSPEAK 。
他们使用各种诱饵 , 如汇款文件、发票递送或公司奖金的机密信息以及恶意的HTML附件 , 从一个可能是被破坏的网站加载内容(iframe或嵌入标签) , 这些内容通常带有日期 , 表示放弃 。
FIN11黑客组织加入勒索软件赚钱计划,FIN11活动分析文章插图
Mandiant威胁情报公司(Mandiant Threat Intelligence)的高级分析经理金伯利·古迪(Kimberly Goody)告诉我们 , 受害者必须先完成验证码挑战 , 然后才能收到带有恶意宏代码的Excel电子表格 。
一旦执行 , 该代码将交付FRIENDSPEAK , 后者下载了另一个据信是FIN11特有的恶意软件MIXLABEL 。 后者在许多情况下被配置为与模拟Microsoft Store(us Microsoft Store[[com)的命令和控制域联系
古迪在电子邮件中说 , 这些策略在9月份的竞选活动中非常活跃 , 不过这位演员修改了Office文档中的宏 , 还添加了地理围栏技术 。
FIN11黑客组织加入勒索软件赚钱计划,FIN11活动分析文章插图
Mandiant今天发布了FIN11活动及其向勒索软件过渡的概述 。 研究人员将该组织视为一个独立的威胁参与者 , 注意到它在战术、技术和TA505所使用的恶意软件方面有着显著的重叠 。
TA505是另一个高调的网络犯罪团伙 , 部署了Clop勒索软件 。 最近 , 它开始利用Windows中的zeroologon关键缺陷来获取组织的域控制器的管理员级权限 。
区分这两个行为体的依据是观察到的活动 , 以及“在TA505上尚未公开报道的妥协后战术、技术和程序(TTP)的不断发展”
FIN11还使用了Faultedamyy , 这是一个恶意软件下载器 , 在来自TA505和沉默(一个针对世界各地银行的黑客组织)的攻击中都可以看到 。 这表明这三个组都有一个共同的恶意软件开发人员 。
尽管与TA505有很强的相似性 , 但将某些活动归因于FIN11是很困难的 , 因为这两个组织都使用恶意软件和犯罪服务提供商 , 这在某些情况下可能会导致错误归因 。
Mandiant hass自2016年以来一直在跟踪FIN11 , 并通过可独立验证的观察活动对其进行了定义 。 TA505至少从2014年开始就存在 , 研究人员并未将其早期操作归因于FIN11 。
赚钱策略 针对FIN11扔下Clop勒索软件的事件 , Mandiant发现演员在失去访问权限后并没有放弃目标 。
在一个案例中 , 几个月后 , 他们通过多个电子邮件活动重新危害了公司 。 在另一个案例中 , FIN11在公司从备份中恢复受感染的服务器后重新获得了访问权限 。
研究人员没有具体说明他们所调查的事件的赎金要求 , 但指出勒索软件补救公司Coveware指出 , 赎金数额在几十万到一千万美元之间 。
Mandiant说 , 有一次他们没有部署Clop勒索软件 , 演员试图勒索受害者 , 威胁说要发布或出售被盗数据 。