Hackers FIN11 são vistos usando novas técnicas em ataques de ransomware

Views: 334
0 0
Read Time:4 Minute, 34 Second

Um ator de ameaças com motivação financeira conhecido por suas campanhas de distribuição de malware evoluiu suas táticas para se concentrar em ransomware e extorsão.

De acordo com a equipe de inteligência de ameaças mandiant do FireEye, o coletivo — conhecido como FIN11 — se envolveu em um padrão de campanhas de crimes cibernéticos pelo menos desde 2016 que envolve monetizar seu acesso às redes das organizações, além de implantar malware ponto de venda (POS) voltado para os setores financeiro, varejo, restaurante e farmacêutico.

“As invasões recentes do FIN11 têm levado mais comumente ao roubo de dados, extorsão e à interrupção das redes de vítimas através da distribuição do ransomware CLOP”,disse Mandiant.

Embora as atividades do FIN11 no passado tenham sido ligadas a malwares como FlawedAmmyyFRIENDSPEAKe MIXLABEL, Mandiant observa uma sobreposição significativa em TTPs com outro grupo de ameaças que os pesquisadores de cibersegurança chamam de TA505, que está por trás do infame Trojan bancário Dridex e ransomware Locky que é entregue através de campanhas malspam através da botnet Necurs.

Vale ressaltar que a Microsoft orquestrou a queda da botnet Necurs no início de março deste ano, em uma tentativa de impedir que os operadores registrem novos domínios para executar novos ataques no futuro.

Campanhas malspam de alto volume

O FIN11, além de aproveitar um mecanismo de distribuição de e-mails malicioso de alto volume, expandiu seu direcionamento para iscas de idiomas nativos, juntamente com informações manipuladas de remetente de e-mail, como nomes de exibição de e-mail falsificados e endereços de remetente de e-mail, para fazer com que as mensagens pareçam mais legítimas, com uma forte tendência para atacar organizações alemãs em suas campanhas de 2020.

malware

Por exemplo, o adversário desencadeou uma campanha de e-mail com assuntos de e-mail como “relatório de pesquisa N-[número de cinco dígitos]” e “acidente de laboratório” em janeiro de 2020, seguido por uma segunda onda em março usando e-mails de phishing com a linha de assunto “[nome da empresa farmacêutica] 2020 YTD planilha de faturamento”.

“As campanhas de distribuição de e-mails de alto volume da FIN11 evoluíram continuamente ao longo da história do grupo”, disse Andy Moore, analista técnico sênior da Mandiant Threat Intelligence, ao The Hacker News por e-mail.

“Embora não tenhamos verificado independentemente a conexão, há relatórios públicos substanciais que sugerem que até algum momento de 2018, o FIN11 dependia fortemente da botnet Necurs para distribuição de malware. Notavelmente, o tempo de inatividade observado da botnet Necurs correspondeu diretamente a calmarias na atividade que atribuímos ao FIN11.”

De fato, de acordo com a pesquisa de Mandiant, as operações do FIN11 parecem ter cessado totalmente de meados de março de 2020 até o final de maio de 2020, antes de serem retomadas em junho por meio de e-mails de phishing contendo anexos HTML maliciosos para fornecer arquivos maliciosos do Microsoft Office.

Os arquivos do Office, por sua vez, fizeram uso de macros para buscar o conta-gotas MINEDOOR e o downloader FRIENDSPEAK, que então despachou o backdoor MIXLABEL no dispositivo infectado.

Uma mudança para extorsão híbrida

Nos últimos meses, no entanto, os esforços de monetização do FIN11 resultaram em várias organizações infectadas pelo ransomware CLOP, além de recorrer a ataques híbridos de extorsão — combinando ransomware com roubo de dados — em uma tentativa de forçar as empresas a aceitar pagamentos de extorsão que variam de algumas centenas de milhares de dólares até 10 milhões de dólares.

“A monetização de invasões da FIN11 via ransomware e extorsão segue uma tendência mais ampla entre atores com motivação financeira”, disse Moore.

“Estratégias de monetização que têm sido mais comuns historicamente, como a implantação de malware de ponto de venda, limitam os criminosos a direcionar vítimas em determinadas indústrias, enquanto a distribuição de ransomware pode permitir que os atores lucram com uma intrusão na rede de quase qualquer organização.

Essa flexibilidade, em combinação com relatos cada vez mais frequentes de pagamentos de resgate, torna-o um esquema extremamente atraente para atores com motivação financeira”, acrescentou.

Além disso, o FIN11 supostamente fez uso de uma grande variedade de ferramentas (por exemplo, FORKBEARD, SPOONBEARD e MINEDOOR) compradas em fóruns subterrâneos, tornando assim atividades de atribuição difíceis ou acidentalmente confundindo atividades de dois grupos diferentes com base em TTPs semelhantes ou indicadores de compromisso.

Um ator de provável origem CIS

Quanto às raízes do FIN11, Mandiant afirmou com “confiança moderada” que o grupo opera fora da Comunidade dos Estados Independentes (CIS) devido à presença de metadados de arquivos em língua russa, evitar implantações de CLOP em países da CS, e a dramática queda na atividade coincidindo com o período de férias de Natal Russos e Ortodoxos entre 1 e 8 de janeiro.

“Salvo algum tipo de interrupção em suas operações, é altamente provável que o FIN11 continue a atacar organizações com o objetivo de implantar ransomware e roubar dados para serem usados para extorsão”, disse Moore.

“Como o grupo atualizou regularmente seus TTPs para evitar detecções e aumentar a eficácia de suas campanhas, também é provável que essas mudanças incrementais continuem. Apesar dessas mudanças, no entanto, as campanhas recentes do FIN11 têm consistentemente se apoiado no uso de macros incorporadas em documentos maliciosos do Office para entregar suas cargas.”

“Juntamente com outras práticas recomendadas de segurança, as organizações podem minimizar o risco de serem comprometidas pelo FIN11, treinando os usuários para identificar e-mails de phishing, desativando macros do Office e implementando detecções para o downloader FRIENDSPEAK.”

FONTE: THE HACKER NEWS

POSTS RELACIONADOS