FIN11, финансово мотивированная хакерская группа, история которой началась по крайней мере с 2016 года, адаптировала вредоносные почтовые кампании для перехода на программы-вымогатели в качестве основного метода монетизации.
Группа занимается крупномасштабными операциями, в последнее время ориентируясь на компании в основном в Северной Америке и Европе практически из всех секторов промышленности, чтобы украсть данные и развернуть программу-вымогатель Clop.
Недавние кампании
Вредоносные кампании в ранней истории банды были сосредоточены на организациях в финансовом, розничном и ресторанном секторах. За последние пару лет атаки FIN11 стали более неизбирательными как с точки зрения типа жертвы, так и с точки зрения географии.Начиная с августа киберпреступники атаковали организации в сфере обороны, энергетики, финансов, здравоохранения / фармацевтики, права, телекоммуникаций, технологий и транспорта.
Исследователи безопасности из компании Mandiant FireEye сообщили BleepingComputer, что FIN11 нацелился на своих жертв с помощью вредоносных электронных писем, распространяющих загрузчик вредоносных программ, которые они отслеживают как FRIENDSPEAK.
Они использовали различные приманки, такие как документы о денежных переводах, доставка счетов-фактур или конфиденциальная информация о бонусах компании с вредоносными HTML-вложениями для загрузки контента (iframe или встраиваемых тегов) с вероятного взломанного веб-сайта, часто с устаревшим контентом, указывающим на отказ.
Кимберли Гуди, старший менеджер по анализу в Mandiant Threat Intelligence, сообщила нам, что жертвы должны были выполнить проверку CAPTCHA, прежде чем им будет представлена электронная таблица Excel с вредоносным кодом макроса.
После выполнения код доставил FRIENDSPEAK, который загрузил MIXLABEL, еще одно вредоносное ПО, которое, как считается, специфично для FIN11. Последний во многих случаях был настроен для связи с доменом управления и контроля, который выдавал себя за Microsoft Store (us-microsoft-store [. [Com)
Эта тактика была активна в кампаниях с сентября, хотя актер изменил макросы в документах Office, а также добавил методы геозон, сказал Гуди по электронной почте.
Перекрытие с TA505
Mandiant сегодня опубликовал обзор деятельности FIN11 и ее перехода на сцену вымогателей. Исследователи рассматривают группу как отдельного субъекта угрозы, отмечая ее значительное совпадение в тактике, методах и вредоносных программах, используемых TA505.TA505 - еще одна известная банда киберпреступников, использующая вымогатель Clop. Недавно он начал использовать критическую уязвимость ZeroLogon в Windows, чтобы получить права администратора для контроллера домена организации.
Различие между двумя участниками основано на наблюдаемой активности и «развивающемся арсенале тактик, техник и процедур после компромисса (ТТП), о которых не сообщалось публично в TA505».
FIN11 также использует FlawedAmmyy, загрузчик вредоносных программ, замеченный в атаках TA505 и Silence, группы хакеров, нацеленных на банки по всему миру . Это означает, что у всех трех групп есть общий разработчик вредоносных программ.
Несмотря на сильное сходство с TA505, отнести определенные кампании к FIN11 сложно, поскольку обе группы используют вредоносное ПО и поставщиков криминальных услуг, что в некоторых случаях могло привести к неправильной атрибуции.
Mandiant отслеживает FIN11 с 2016 года и определяет его по наблюдаемой активности, которую они могут проверить независимо. TA505 существует как минимум с 2014 года, и исследователи не связывают его первые операции с FIN11.
Тактика зарабатывания денег
Отвечая на инциденты, когда FIN11 сбрасывал вымогатель Clop, Mandiant обнаружил, что злоумышленник не покинул цель после потери доступа.В одном случае через несколько месяцев они повторно скомпрометировали организацию с помощью нескольких кампаний по электронной почте. В другом случае FIN11 восстановил доступ после того, как компания восстановила зараженные серверы из резервных копий.
Исследователи не уточняют требования FIN11 о выкупе в связи с расследованными инцидентами, но отмечают, что компания Coveware, занимающаяся восстановлением программ-вымогателей, указывает суммы от нескольких сотен тысяч до 10 миллионов долларов.
По словам Mandiant, однажды, когда они не развернули программу-вымогатель Clop, актер попытался вымогать у жертвы, угрожая опубликовать или продать украденные данные.
Актер из СНГ
Основываясь на своем анализе, исследователи имеют умеренную уверенность в том, что FIN11 действует на территории Содружества Независимых Государств (СНГ - страны бывшего Советского Союза).
В пользу этой оценки говорят метаданные файлов на русском языке, развертывание вымогателя Clop только на компьютерах с раскладкой клавиатуры, используемой за пределами стран СНГ, а также снижение активности во время русского Нового года и православных рождественских праздников.
Mandiant считает, что FIN11 имеет «доступ к сетям гораздо большего числа организаций, чем они могут успешно монетизировать», и выбирает, стоит ли эксплуатация усилий, исходя из местоположения жертвы, ее географического положения и уровня безопасности.
Поскольку кража данных и вымогательство теперь являются частью их методов монетизации, FIN11, вероятно, проявит больший интерес к жертвам, у которых есть конфиденциальные проприетарные данные, у которых есть более высокие шансы заплатить выкуп либо за восстановление своих файлов.
Перевод с английского - Google
Bleeping Computer