15/10/20
Финансово мотивированная хакерская группировка FIN11 изменила свою тактику и теперь перешла на использование программ-вымогателей в качестве основного метода монетизации.
Группировка осуществляет крупномасштабные операции, в последнее время атакуя компании в Северной Америке и Европе из самых разных секторов промышленности с целью похитить персональные данные и загрузить вымогательское ПО Clop. Начиная с августа нынешнего года, киберпреступники атаковали организации в сфере обороны, энергетики, финансов, здравоохранения, фармацевтики, телекоммуникаций, технологий и транспорта.
Как сообщили исследователи безопасности из компании Mandiant (дочерняя компания FireEye), FIN11 в ходе атак использовала вредоносные электронные письма, распространяющие загрузчик вредоносных программ FRIENDSPEAK. Преступники использовали различные приманки, такие как документы о денежных переводах, доставка счетов-фактур или конфиденциальная информация о бонусах компании с вредоносными HTML-вложениями для загрузки контента со взломанного web-сайта.
Жертвы должны были пройти проверку CAPTCHA, прежде чем им будет представлена электронная таблица Excel с вредоносным кодом макроса. После выполнения код загружал FRIENDSPEAK, который в свою очередь загружал еще одно вредоносное ПО MIXLABEL, специфичное для FIN11. Последнее во многих случаях было настроено для связи с доменом C&C-сервера, замаскированного под ресурс Microsoft Store.
Анализируя кибератаки, в рамках которых FIN11 загружала вымогатель Clop, эксперты обнаружили, что злоумышленники не покидали сеть жертвы после потери доступа. В одном случае через несколько месяцев они повторно скомпрометировали организацию с помощью нескольких кампаний по электронной почте. В другом случае FIN11 возобновила доступ после того, как компания-жертва восстановила зараженные серверы из резервных копий.
В одном случае, когда хакеры не развернули программу-вымогатель Clop, группировка вымогала у жертвы выкуп, угрожая раскрыть или продать украденные данные.
