FIN11是一个有经济发展动因的黑客联盟,其历史时间最少从2016年逐渐,它早已更改了恶意电子邮件主题活动,将其变化为勒索软件做为首要的赚钱方法。
该集团公司经营着很多业务流程,近期关键对于北美地区和欧洲地区几乎所有的领域单位的公司盗取数据信息和布署Clop勒索软件。
网络黑客初期的恶意主题活动关键聚集在金融业、零售和饮食业的机构上。在过去的的数年里,FIN11的进攻在受害者种类和所在位置上面更为好坏不分。
从8月逐渐,互联网犯罪嫌疑人伤害了国防安全、电力能源、金融业、诊疗/制药业、法律法规、电信网、技术性和物流运输单位的机构。
FireEye公司Mandiant的安全性科研工作人员告知BleepingComputer,FIN11的总体目标是向受害者推送恶意电子邮件,并派发她们追踪的恶意软件免费下载程序流程FRIENDSPEAK。
她们应用各种各样鱼饵,如汇钱文档、税票寄送或公司奖金的保密信息及其恶意的HTML配件,从一个可能是被损坏的平台载入內容(iframe或置入标识),这种內容通常含有日期,表明舍弃。
Mandiant威胁情报公司(Mandiant Threat Intelligence)的高級剖析主管金伯利·古迪(Kimberly Goody)告知大家,受害者务必先进行短信验证码挑戰,随后才可以接到含有恶意宏代码的Excelexcel表。
一旦实行,该编码将交货FRIENDSPEAK,后面一种安装了另一个据信是FIN11特有的恶意手机软件MIXLABEL。后面一种在很多情形下被配备为与仿真模拟Microsoft Store(us Microsoft Store[[com)的指令和操纵域联络
古迪在电子邮件上说,这种对策在9月份的竞选宣言中十分活跃性,但是这名艺人改动了Office文本文档中的宏,还加上了地理围栏技术性。
Mandiant今日公布了FIN11主题活动以及向勒索软件衔接的简述。科学研究工作人员将该机构视作一个单独的危害参加者,注意到它在战略、技术性和TA505所采用的恶意手机软件层面具有明显的重合。
TA505是另一个高姿态的互联网团伙犯罪,布署了Clop勒索软件。近期,它逐渐运用Windows中的zeroologon重要缺点来获得机构的域控制器的管理人员级管理权限。
区别这两个个人行为体的重要依据是观查到的主题活动,及其“在TA505上并未公布报导的让步后战略、技术性和程序流程(TTP)的飞速发展”
FIN11还采用了Faultedamyy,这是一个恶意软件下载器,在来源于TA505和沉默无言(一个对于世界各国金融机构的黑客联盟)的进攻里都能够看见。这说明这三个组都是有一个相同的恶意手机软件开发者。
虽然与TA505有较强的同质性,但将一些主题活动归功于FIN11是很不便的,由于这两个机构都应用恶意手机软件和违法犯罪服务提供商,这在某种情形下有可能会造成错误归因。
Mandiant hass自2016年至今一直在追踪FIN11,并根据可单独认证的观查主题活动对它进行了界定。TA505最少从2014年逐渐就存有,科学研究工作人员尚未将其初期实际操作归功于FIN11。
挣钱对策
对于FIN11丢下Clop勒索软件的事情,Mandiant发觉艺人在丧失访问限制后并没舍弃总体目标。
在一个实例中,几个月后,她们利用好几个电子邮件主题活动再次伤害了公司。在另一个实例中,FIN11在公司从备份文件中修复受传染的网络服务器后再次得到了访问限制。
科学研究工作人员沒有实际表明她们所调研的事情的保释金规定,但强调勒索软件弥补公司Coveware强调,保释金金额在几十万到一一百万美元中间。
Mandiant说,有一次她们沒有布署Clop勒索软件,艺人尝试敲诈勒索受害者,危害说要公布或售卖失窃数据信息。
根据CIS的参加者
依据它们的剖析,科学研究员工对FIN11来源于主权国家共同体(独联体-原苏联我国)有适当的自信心。
适用这一评定的是德语文档数据库,仅在独联体国家之外应用键盘布局的设备上布署Clop勒索软件,而且在俄罗斯新年和东正教圣诞期内主题活动降低。
Mandiant觉得,FIN11“可以浏览的结构互联网远远地超出她们可以取得成功赢利的总数”,并依据受害者的部位、所在位置和安全性趋势来挑选是不是非常值得运用。
因为数据信息偷盗和敲诈勒索如今已成為其货币化安置方式的一部分,FIN11很有可能会对有着比较敏感专用数据信息的受害者主要表现出更高的兴趣爱好,这种数据信息有更好的概率付款保释金来修复她们的文档。