FIN11是一个以经济为动机的黑客组织,其历史至少可以追溯到2016年,它利用恶意电子邮件活动将勒索软件作为主要的获利方式。该组织经营着大量业务,最近针对北美和欧洲几乎每个行业的公司窃取数据并部署Clop勒索软件。黑客的早期恶意活动主要集中在金融、零售和餐饮行业的组织。在过去几年中,无论是在受害者类型还是地理位置方面,FIN11攻击都变得更加不分青红皂白。从8月开始,网络犯罪分子攻击了国防、能源、金融、医疗/制药、法律、电信、技术和运输部门的组织。FireEye公司Mandiant的安全研究人员告诉BleepingComputer,FIN11以向受害者发送恶意电子邮件为目标,并分发他们跟踪的恶意软件下载程序FRIENDSPEAK。他们使用各种诱饵,例如汇款文件、发票交付或公司奖金的机密信息以及恶意HTML附件,以从可能被感染的网站加载内容(iframe或嵌入标签),这些网站的日期通常表示放弃。MandiantThreatIntelligence的高级分析经理KimberlyGoody告诉我们,受害者必须先完成验证码挑战,然后才能收到带有恶意宏代码的Excel电子表格。一旦执行,代码就会发送FRIENDSPEAK,它会下载另一个据信是特定于FIN11的恶意软件MIXLABEL。在许多情况下,后者被配置为联系冒充MicrosoftStore(美国MicrosoftStore[[com])的命令和控制域,这种策略在9月的活动中很活跃,Goody在一封电子邮件中说,尽管演员们修改了宏在Office文档中,还添加了地理围栏技术。Mandiant今天发布了FIN11活动及其向勒索软件过渡的概述。研究人员将该组织视为一个独立的威胁参与者,并指出它在战术、技术和TA505使用的恶意软件方面有很大的重叠。TA505是另一个备受瞩目的网络犯罪团伙,它部署了Clop勒索软件。最近,它开始利用Windows中的zeroologon严重缺陷在组织的域控制器上获得管理员级别的权限。这两个参与者之间的区别是基于观察到的活动和“尚未在TA505上公开报告的妥协后策略、技术和程序(TTP)的持续发展”。FIN11还使用了恶意软件下载器Faultedamyy,在TA505和针对全球银行的黑客组织Silence的攻击中都可以看到。这表明所有三个组共享一个共同的恶意软件开发者。尽管与TA505非常相似,但很难将某些活动归因于FIN11,因为这两个群体都使用恶意软件和犯罪服务提供商,这在某些情况下可能会导致错误归因,因为。Mandiant自2016年以来一直在跟踪FIN11,并通过独立可验证的观察活动对其进行了定义。TA505至少从2014年就已经存在,研究人员并未将其早期操纵归因于FIN11。赚钱策略针对FIN11投放Clop勒索软件的事件,Mandiant发现攻击者在失去访问权限后并没有放弃他的目标。在一个案例中,他们在几个月后通过多次电子邮件活动再次破坏了公司。在另一个案例中,FIN11在公司从备份中恢复受感染的服务器后重新获得了访问权限。研究人员没有具体说明他们调查的事件的赎金要求,但指出勒索软件补救公司Coveware指出,赎金金额从几十万到1000万美元不等。Mandiant说,有一次他们没有部署Clop勒索软件,攻击者试图勒索受害者,威胁要发布或出售被盗数据。根据他们对CIS参与者的分析,研究人员对FIN11来自独立国家联合体(CIS-前苏联国家)有一定的信心。支持这一评估的是俄语文件元数据、Clop勒索软件仅在独联体国家以外键盘布局的机器上的部署,以及俄罗斯新年和东正教圣诞节前后活动的减少。Mandiant认为,FIN11“可以访问的组织网络远远超过他们可以成功获利的数量”,并根据受害者的位置、地理位置和安全状况来选择是否值得利用。由于数据盗窃和勒索现在已成为其货币化方法的一部分,FIN11可能会对拥有敏感专有数据的受害者表现出更大的兴趣,这些受害者更有可能支付赎金以恢复其文件。
