0
0
A FIN11, que se acredita ser baseada na Rússia, segue uma tendência de grupos de cibercriminosos que expandem suas operações para além do crime financeiro.
Extorquir dinheiro de empresas e outras organizações que usam ransomware sofisticado tornou-se um modelo de negócios altamente lucrativo para cibercriminosos. Isso também levou a uma mudança de foco para alguns grupos que tradicionalmente estavam envolvidos em crimes financeiros e roubo de cartões de pagamento.
De acordo com um novo relatório da Mandiant, um exemplo desse grupo é o FIN11, que ao longo de 2017 e 2018 teve como alvo principalmente organizações dos setores financeiro, varejo e restaurante. A partir de 2019, no entanto, o grupo diversificou seu direcionamento e arsenal e passou para a distribuição de ransomware. Nos meses mais recentes, ele dobrou a extorsão, também roubando dados de negócios das vítimas e ameaçando liberá-los publicamente se eles não pagarem os resgates.
Quem é fin11?
O FIN11 está ativo desde pelo menos 2016 e seus membros provavelmente estão sediados em países de língua russa. Metadados encontrados nas ferramentas usadas pelo grupo sugerem que seus desenvolvedores estão usando o alfabeto cirílico e o malware em si tem verificações para evitar sistemas prejudiciais que têm seus layouts de teclado e localização configurados para linguagens da Comunidade dos Estados Independentes (CIS) – uma coalizão de antigos países da União Soviética. A atividade do grupo também para em torno da véspera de Ano Novo russo e do Natal Ortodoxo que são observados em janeiro, sugerindo que os membros do grupo estão de férias durante esses horários.
O site de ferramentas e técnicas do FIN11 se sobrepõem aos de outros grupos de crimes cibernéticos porque usa regularmente programas de malware e outros serviços vendidos em mercados subterrâneos. Dito isto, acredita-se que alguns downloaders de malware e backdoors são exclusivos do FIN11, incluindo aqueles rastreados na indústria como FlawedAmmyy, FRIENDSPEAK e MIXLABEL. Há semelhanças notáveis entre algumas das atividades do FIN11 e as de um grupo que a indústria chama de TA505, que está associado à botnet Dridex e ao ransomware Locky, mas Mandiant adverte contra a conflação dos dois grupos porque também há diferenças significativas em suas técnicas.https://imasdk.googleapis.com/js/core/bridge3.416.2_en.html#goog_436891628Volume 0%
“O FIN11, um grupo de ameaças com motivação financeira, conduziu algumas das maiores e mais longas campanhas de distribuição de malware que os pesquisadores mandiant observaram entre os atores de ameaças motivados financeiramente até o momento”, disse a empresa em seu novo relatório. “Além de campanhas de e-mail maliciosas de alto volume, o FIN11 também é notável devido às suas táticas e técnicas de entrega de malware em constante evolução. Consultores mandiant responderam a vários incidentes onde o FIN11 foi observado monetizando seu acesso às redes das organizações.”
Segmentação expandida e ransomware
A partir de 2019, pesquisadores observaram mudanças significativas nas campanhas de distribuição de malware e iscas de phishing do FIN11, indicando um direcionamento mais indiscriminado de organizações em vários setores do setor. Isso coincidiu com a transição do grupo para um modelo de monetização baseado em um programa de ransomware apelidado de CLOP.
As campanhas de e-mail de alto volume da FIN11 usam iscas genéricas, como ordens de venda falsas, extratos bancários e faturas, mas algumas também foram adaptadas para países ou indústrias específicas. Mandiant observou e-mails de phishing fin11 escritos em inglês, espanhol, coreano e alemão – um número significativo de suas vítimas recentes de ransomware foram da Alemanha. Ao atingir um setor específico da indústria — por exemplo, o setor farmacêutico em janeiro — usou iscas de phishing relevantes para essa indústria: relatórios de pesquisa, acidentes laboratoriais, planilhas de faturamento.
FONTE: CSO ONLINE