FIN11是一個有經濟動機的黑客組織,其歷史至少從2016年開始,它已經調整了惡意電子郵件活動,將其轉變為勒索軟件作為主要的盈利方式。
該集團運營著大量業務,最近主要針對北美和歐洲幾乎所有行業部門的公司竊取數據和部署Clop勒索軟件。
黑客早期的惡意活動主要集中在金融、零售和餐飲業的組織上。在過去的幾年里,FIN11的攻擊在受害者類型和地理位置上都更加不分青紅皂白。
從8月開始,網絡犯罪分子攻擊了國防、能源、金融、醫療/制藥、法律、電信、技術和運輸部門的組織。
FireEye公司Mandiant的安全研究人員告訴BleepingComputer,FIN11的目標是向受害者發送惡意電子郵件,并分發他們跟蹤的惡意軟件下載程序FRIENDSPEAK。
他們使用各種誘餌,如匯款文件、發票遞送或公司獎金的機密信息以及惡意的HTML附件,從一個可能是被破壞的網站加載內容(iframe或嵌入標簽),這些內容通常帶有日期,表示放棄。
Mandiant威脅情報公司(Mandiant Threat Intelligence)的高級分析經理金伯利·古迪(Kimberly Goody)告訴我們,受害者必須先完成驗證碼挑戰,然后才能收到帶有惡意宏代碼的Excel電子表格。
一旦執行,該代碼將交付FRIENDSPEAK,后者下載了另一個據信是FIN11特有的惡意軟件MIXLABEL。后者在許多情況下被配置為與模擬Microsoft Store(us Microsoft Store[[com)的命令和控制域聯系
古迪在電子郵件中說,這些策略在9月份的競選活動中非常活躍,不過這位演員修改了Office文檔中的宏,還添加了地理圍欄技術。
Mandiant今天發布了FIN11活動及其向勒索軟件過渡的概述。研究人員將該組織視為一個獨立的威脅參與者,注意到它在戰術、技術和TA505所使用的惡意軟件方面有著顯著的重疊。
TA505是另一個高調的網絡犯罪團伙,部署了Clop勒索軟件。最近,它開始利用Windows中的zeroologon關鍵缺陷來獲取組織的域控制器的管理員級權限。
區分這兩個行為體的依據是觀察到的活動,以及“在TA505上尚未公開報道的妥協后戰術、技術和程序(TTP)的不斷發展”
FIN11還使用了Faultedamyy,這是一個惡意軟件下載器,在來自TA505和沉默(一個針對世界各地銀行的黑客組織)的攻擊中都可以看到。這表明這三個組都有一個共同的惡意軟件開發人員。
盡管與TA505有很強的相似性,但將某些活動歸因于FIN11是很困難的,因為這兩個組織都使用惡意軟件和犯罪服務提供商,這在某些情況下可能會導致錯誤歸因。
Mandiant hass自2016年以來一直在跟蹤FIN11,并通過可獨立驗證的觀察活動對其進行了定義。TA505至少從2014年開始就存在,研究人員并未將其早期操作歸因于FIN11。
賺錢策略
針對FIN11扔下Clop勒索軟件的事件,Mandiant發現演員在失去訪問權限后并沒有放棄目標。
在一個案例中,幾個月后,他們通過多個電子郵件活動重新危害了公司。在另一個案例中,FIN11在公司從備份中恢復受感染的服務器后重新獲得了訪問權限。
研究人員沒有具體說明他們所調查的事件的贖金要求,但指出勒索軟件補救公司Coveware指出,贖金數額在幾十萬到一千萬美元之間。
Mandiant說,有一次他們沒有部署Clop勒索軟件,演員試圖勒索受害者,威脅說要發布或出售被盜數據。
基于CIS的參與者
根據他們的分析,研究人員對FIN11來自獨立國家聯合體(獨聯體-前蘇聯國家)有適度的信心。
支持這一評估的是俄語文件元數據,僅在獨聯體國家以外使用鍵盤布局的機器上部署Clop勒索軟件,并且在俄羅斯新年和東正教圣誕節期間活動減少。
Mandiant認為,FIN11“能夠訪問的組織網絡遠遠超過他們能夠成功盈利的數量”,并根據受害者的位置、地理位置和安全態勢來選擇是否值得利用。
由于數據盜竊和勒索現在已成為其貨幣化方法的一部分,FIN11可能會對擁有敏感專有數據的受害者表現出更大的興趣,這些數據有更高的幾率支付贖金來恢復他們的文件。
責編AJX
-
數據
+關注
關注
8文章
7004瀏覽量
88944 -
網絡安全
+關注
關注
10文章
3155瀏覽量
59702 -
勒索病毒
+關注
關注
1文章
69瀏覽量
9455
發布評論請先 登錄
相關推薦
評論