A gangue FIN11 começou a implantar ransomware para monetizar suas operações
O grupo de hackers FIN11, com motivação financeira, começou a espalhar ransomware para monetizar suas atividades cibercriminosas.
O grupo de hackers FIN11, com motivação financeira, mudou de tática, começando a usar ransomware como principal método de monetização.
O grupo realizou várias operações de alto volume visando empresas em todo o mundo, a maioria delas na América do Norte e Europa.
Em ataques recentes, o grupo foi observado implantando o ransomware Clop nas redes de suas vítimas.
Desde agosto, o FIN11 começou a visar organizações em muitos setores, incluindo defesa, energia, finanças, saúde, jurídico, farmacêutico, telecomunicações, tecnologia e transporte.
Pesquisadores da Mandiant da FireEye observaram hackers FIN11 usando mensagens de spear-phishing distribuindo um downloader de malware denominado FRIENDSPEAK.
“Recentemente, o FIN11 implantou o ransomware CLOP e ameaçou publicar dados exfiltrados para pressionar as vítimas a pagar os pedidos de resgate.” lê a análise publicada pela FireEye. “A mudança dos métodos de monetização do grupo – de malware de ponto de venda (POS) em 2018 a ransomware em 2019 e extorsão híbrida em 2020 – é parte de uma tendência maior na qual os criminosos têm se concentrado cada vez mais na implantação de ransomware pós-comprometimento e extorsão de roubo de dados. ”
A cadeia de ataque começa quando as vítimas habilitam a macro embutida em uma planilha do Excel que acompanha os e-mails de phishing.
As macros baixam e executam o código FRIENDSPEAK, que por sua vez baixa o malware MIXLABEL.
Os especialistas também relataram que o agente da ameaça modificou as macros em documentos do Office usados como isca e também adicionou técnicas de delimitação geográfica.
Os pesquisadores da Mandiant destacaram um importante com as operações conduzidas pela gangue do crime cibernético TA505 (também conhecida como Evil Corp ), que está ativa desde 2014 com foco nos setores de varejo e bancário.
O TA505 também implantou o ransomware Clop em suas campanhas de malware e recentemente começou a explorar a falha crítica ZeroLogon para comprometer as organizações visadas.
“A atribuição da atividade histórica de TA505 e da atividade FIN11 mais recente é complicada pelo uso de prestadores de serviços criminais pelos atores. Como a maioria dos atores com motivação financeira, o FIN11 não opera no vácuo. Acreditamos que o grupo usou serviços que fornecem registro de domínio anônimo, hospedagem à prova de balas, certificados de assinatura de código e malware privado ou semiprivado. ” lê a análise. “A terceirização do trabalho para esses provedores de serviços criminosos provavelmente permite que o FIN11 aumente a escala e sofisticação de suas operações.”
Os especialistas apontaram que os atores do FIN11 depois de abandonar o ransomware Clop não abandonaram o alvo após perder o acesso, pelo menos em um caso eles comprometeram novamente a organização alvo alguns meses depois.
Os pesquisadores acreditam que FIN11 opera a partir da Comunidade de Estados Independentes (CIS – países da ex-União Soviética).
Os especialistas observaram metadados de arquivos em idioma russo no código do malware e relataram que o ransomware Clop foi implantado apenas em máquinas com layout de teclado usado fora dos países da CEI.
Os pesquisadores da Mandiant especulam que o FIN11 continuará a visar organizações com dados proprietários confidenciais e que provavelmente pagarão o resgate para recuperar suas operações após os ataques.
Fonte: https://securityaffairs.co/wordpress/109681/cyber-crime/fin11-clop-ransomware.html
