Фінансово мотивований зловмисник, відомий своїми кампаніями з розповсюдження шкідливих програм, розробив свою тактику, щоб зосередитися на програмах-вимагачах і шантажі.

За даними групи FireEye Mandiant з аналізу загроз, колектив, відомий як FIN11, принаймні з 2016 року, бере участь в ряді кібератак. Вони були направлені на отримання фінансової вигоди від розгортання шкідливого ПЗ для точок продажів (POS). Націлені на фінансовий, роздрібний, ресторанний і фармацевтичний сектори.

«Недавні вторгнення FIN11 найчастіше призводили до крадіжки даних, вимагання і руйнування мереж жертв за допомогою розповсюдження вимагачів CLOP», – сказав Mandiant.

Хоча діяльність FIN11 в минулому була пов’язана з такими шкідливими програмами, як FlawedAmmyy, FRIENDSPEAK і MIXLABEL, Mandiant відзначає значний збіг TTP з іншою групою загроз, яку дослідники кібербезпеки називають TA505, яка стоїть за сумнозвісним банківським трояном Dridex і здирником Locky, поширюваним через розсилки шкідливого спаму через ботнет Necurs.

Варто відзначити, що Microsoft організувала ліквідацію ботнету Necurs на початку березня, намагаючись перешкодити операторам реєструвати нові домени для проведення подальших атак в майбутньому.

Кампанії по поширенню шкідливого спаму

FIN11, крім використання механізму масового поширення фішингових листів, розширив свій таргетинг на приманки рідною мовою у поєднанні зі зміненою інформацією про відправника електронної пошти, такою як підроблені імена електронної пошти та адреси відправників електронної пошти, щоб повідомлення виглядали більш легітимними. Основною метою були німецькі компанії.

Наприклад, зловмисник ініціював розсилку електронних листів з такими темами, як «звіт про дослідження N- [п’ятизначне число]» і «нещасний випадок в лабораторії» в січні 2020 року, за яким виникла друга хвиля в березні з використанням фішингових листів з рядком теми «[назва фармацевтичної компанії] Таблиця рахунків за 2020 рік ».

«Великомасштабні кампанії по розсилці електронної пошти FIN11 постійно розвивалися протягом всієї історії групи», – повідомив Енді Мур, старший технічний аналітик Mandiant Threat Intelligence.

Згідно з дослідженням Mandiant, операції FIN11, схоже, повністю припинилися з середини березня 2020 року до кінця травня 2020 року, а в червні знову поновилися через фішингові електронні листи, що містять шкідливі HTML-вкладення для доставки шкідливих файлів Microsoft Office.

Файли Office, своєю чергою, використовували макроси для завантаження дроппера MINEDOOR і завантажувача FRIENDSPEAK, які потім відправили бекдор MIXLABEL на заражений пристрій.

Перехід до гібридного вимагання

Однак в останні місяці зусилля FIN11 по монетизації привели до того, що ряд організацій були заражені програмою-здирником CLOP, а також вдалися до гібридних атак з вимаганням, що поєднує програми-вимагачі з крадіжкою даних, в спробі змусити компанії погодитися на вимагання платежів в діапазоні від декількох сотень тисяч доларів до 10 мільйонів доларів.

«Монетизація вторгнень за допомогою програм-вимагачів і вимагання від FIN11 слідує за більшою тенденцією серед фінансово мотивованих суб’єктів», – сказав Мур.

«Стратегії монетизації, які були більш поширені історично, такі як розгортання шкідливих програм в точках продажів, обмежують зловмисників націлюванням на жертв в певних галузях, тоді як поширення програм-вимагачів може дозволити зловмисникам отримати прибуток від вторгнення в мережу практично будь-якої організації. Ця гнучкість в поєднанні з частими повідомленнями про зростання викупу робить цю схему надзвичайно привабливою для фінансово мотивованих суб’єктів», – додав він.

Більш того, передбачається, що FIN11 використовує широкий спектр інструментів (наприклад, FORKBEARD, SPOONBEARD і MINEDOOR), придбаних на підпільних форумах, що ускладнює атрибуцію або випадкове об’єднання дій двох розрізнених груп на основі аналогічних ДТЗ.

Ймовірне походження: СНД

Що стосується походження FIN11, Mandiant заявив, що група працює зі Співдружності Незалежних Держав (СНД) через наявність російськомовних метаданих файлів, недопущення розгортання CLOP в країнах СНД і падіння активності, що збігається з періодом російського Нового року і православного Різдва з 1 по 8 січня .

«Якщо не вплинути на їх діяльність, досить імовірно, що FIN11 продовжить атакувати організації з метою розгортання програм-вимагачів і крадіжки даних, які будуть використовуватися для вимагання», – сказав Мур.

«Оскільки група регулярно оновлювала свої TTP, щоб уникнути виявлення і підвищити ефективність своїх кампаній, також ймовірно, що ці поступові зміни триватимуть. Однак, незважаючи на ці зміни, недавні кампанії FIN11 постійно покладалися на використання макросів, вбудованих у шкідливі документи Office для доставки своїх корисних даних ».

«Поряд з іншими передовими методами безпеки, організації можуть мінімізувати ризик компрометації з боку FIN11, навчаючи користувачів визначати фішингові повідомлення електронної пошти, відключаючи макроси Office і впроваджуючи засоби виявлення для завантажувача FRIENDSPEAK».

Спеціалісти CoreWin рекомендують звернути увагу на антивірус BullGuard. Він має модуль захисту пошти, який заблокує будь-які вкладення/додатки у фішингових листах.