FIN11黑客组织加入勒索软件赚钱计划,FIN11活动分析

安全
FIN11是一个有经济动机的黑客组织,其历史至少从2016年开始,它已经调整了恶意电子邮件活动,将其转变为勒索软件作为主要的盈利方式。

FIN11是一个有经济动机的黑客组织,其历史至少从2016年开始,它已经调整了恶意电子邮件活动,将其转变为勒索软件作为主要的盈利方式。

该集团运营着大量业务,最近主要针对北美和欧洲几乎所有行业部门的公司窃取数据和部署Clop勒索软件。

[[346454]]

黑客早期的恶意活动主要集中在金融、零售和餐饮业的组织上。在过去的几年里,FIN11的攻击在受害者类型和地理位置上都更加不分青红皂白。

从8月开始,网络犯罪分子攻击了国防、能源、金融、医疗/制药、法律、电信、技术和运输部门的组织。

FireEye公司Mandiant的安全研究人员告诉BleepingComputer,FIN11的目标是向受害者发送恶意电子邮件,并分发他们跟踪的恶意软件下载程序FRIENDSPEAK。

他们使用各种诱饵,如汇款文件、发票递送或公司奖金的机密信息以及恶意的HTML附件,从一个可能是被破坏的网站加载内容(iframe或嵌入标签),这些内容通常带有日期,表示放弃。

Mandiant威胁情报公司(Mandiant Threat Intelligence)的高级分析经理金伯利·古迪(Kimberly Goody)告诉我们,受害者必须先完成验证码挑战,然后才能收到带有恶意宏代码的Excel电子表格。

一旦执行,该代码将交付FRIENDSPEAK,后者下载了另一个据信是FIN11特有的恶意软件MIXLABEL。后者在许多情况下被配置为与模拟Microsoft Store(us Microsoft Store[[com)的命令和控制域联系

古迪在电子邮件中说,这些策略在9月份的竞选活动中非常活跃,不过这位演员修改了Office文档中的宏,还添加了地理围栏技术。

Mandiant今天发布了FIN11活动及其向勒索软件过渡的概述。研究人员将该组织视为一个独立的威胁参与者,注意到它在战术、技术和TA505所使用的恶意软件方面有着显著的重叠。

TA505是另一个高调的网络犯罪团伙,部署了Clop勒索软件。最近,它开始利用Windows中的zeroologon关键缺陷来获取组织的域控制器的管理员级权限。

区分这两个行为体的依据是观察到的活动,以及“在TA505上尚未公开报道的妥协后战术、技术和程序(TTP)的不断发展”

FIN11还使用了Faultedamyy,这是一个恶意软件下载器,在来自TA505和沉默(一个针对世界各地银行的黑客组织)的攻击中都可以看到。这表明这三个组都有一个共同的恶意软件开发人员。

尽管与TA505有很强的相似性,但将某些活动归因于FIN11是很困难的,因为这两个组织都使用恶意软件和犯罪服务提供商,这在某些情况下可能会导致错误归因。

Mandiant hass自2016年以来一直在跟踪FIN11,并通过可独立验证的观察活动对其进行了定义。TA505至少从2014年开始就存在,研究人员并未将其早期操作归因于FIN11。

赚钱策略

针对FIN11扔下Clop勒索软件的事件,Mandiant发现演员在失去访问权限后并没有放弃目标。

在一个案例中,几个月后,他们通过多个电子邮件活动重新危害了公司。在另一个案例中,FIN11在公司从备份中恢复受感染的服务器后重新获得了访问权限。

研究人员没有具体说明他们所调查的事件的赎金要求,但指出勒索软件补救公司Coveware指出,赎金数额在几十万到一千万美元之间。

Mandiant说,有一次他们没有部署Clop勒索软件,演员试图勒索受害者,威胁说要发布或出售被盗数据。

基于CIS的参与者

根据他们的分析,研究人员对FIN11来自独立国家联合体(独联体-前苏联国家)有适度的信心。

支持这一评估的是俄语文件元数据,仅在独联体国家以外使用键盘布局的机器上部署Clop勒索软件,并且在俄罗斯新年和东正教圣诞节期间活动减少。

Mandiant认为,FIN11“能够访问的组织网络远远超过他们能够成功盈利的数量”,并根据受害者的位置、地理位置和安全态势来选择是否值得利用。

由于数据盗窃和勒索现在已成为其货币化方法的一部分,FIN11可能会对拥有敏感专有数据的受害者表现出更大的兴趣,这些数据有更高的几率支付赎金来恢复他们的文件。

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2021-03-04 13:54:44

网络安全黑客攻击

2020-12-02 10:07:23

攻击组织勒索软件漏洞

2024-05-13 16:18:36

2022-01-16 12:09:03

FIN7恶意U盘勒索软件

2021-10-17 15:51:20

FIN7Windows 11黑客

2014-12-04 15:15:30

2022-04-08 18:42:11

黑客网络犯罪网络攻击

2021-10-22 16:06:27

黑客网络安全网络攻击

2021-10-22 12:44:37

黑客网络安全网络攻击

2021-08-10 08:59:26

勒索软件黑客恶意软件

2021-07-12 09:09:54

Go 连接池缓存

2021-04-17 15:11:33

网络犯罪FIN7黑客

2020-03-30 15:18:05

网络钓鱼邮件攻击网络攻击

2019-04-09 14:48:03

APT脚本攻击无文件

2021-03-29 10:44:20

恶意软FIN8团伙网络金融犯罪

2021-03-23 10:41:00

漏洞黑客组织谷歌

2021-09-15 10:04:06

勒索软件攻击数据泄露

2023-05-22 14:21:56

2022-05-12 16:37:12

勒索软件恶意软件网络攻击

2021-03-02 10:17:09

勒索软件Nefilimr网络安全
点赞
收藏

51CTO技术栈公众号