El grupo de piratas informáticos FIN11, relativamente nuevo, se especializa en ransomware y extorsión. En los últimos meses, se ha centrado cada vez más en empresas alemanas y de habla alemana. Se cree que los piratas informáticos operan desde la Comunidad de Estados Independientes (CEI).
“En los últimos años, ha habido un aumento dramático en los ataques agresivos de ransomware contra las empresas; Mandiant respondió a casi un 2019 % más de ataques de ransomware en 300 que el año anterior". Eso dice Genevieve Stark, analista de Mandiant Threat Intelligence. El grupo de piratas informáticos FIN11 ejemplifica esta tendencia, con ciberdelincuentes que utilizan ransomware para monetizar sus actividades en lugar de, por ejemplo, malware de punto de venta para robar detalles de tarjetas de crédito durante transacciones financieras. FIN11 opera un modelo de extorsión híbrido: roban los datos de las víctimas, distribuyen el ransomware CLOP y luego amenazan con publicar los datos robados en línea para obligar a sus víctimas a pagar rescates. Estas reclamaciones van desde unos cientos de miles de dólares estadounidenses hasta 10 millones de dólares estadounidenses.
Grupo de piratas informáticos apuntó a compañías farmacéuticas
El grupo se destaca por su enfoque particularmente descarado: a principios de 2020, apuntó cada vez más a las compañías farmacéuticas cuando eran particularmente vulnerables a la pandemia de la corona.
Las presuntas víctimas enumeradas en el sitio web CL0P^_-LEAKS en la web oscura se encuentran principalmente en Europa: alrededor de la mitad de las empresas afectadas tienen su sede en Alemania. Estos están activos en una variedad de industrias, incluidas la automotriz, la fabricación, la tecnología, los textiles; los servicios públicos también se encontraban entre las presuntas víctimas alemanas. Si bien el sitio web CL0P^_-LEAKS brinda una imagen incompleta de los objetivos de FIN11 (enumera las empresas que fueron atacadas y se negaron a pagar el rescate), los correos electrónicos en alemán que FIN11 usó en muchas campañas de phishing en 2020 también insinúan que apuntaban activamente a empresas que operaban en países de habla alemana.
Ataques corporativos dirigidos
Si bien se puede decir que estas campañas se dirigieron principalmente a empresas alemanas, a menudo también se dirigieron a empresas de otros países, como Austria. Además, hemos observado casos en los que tanto una empresa alemana como sus filiales en otros países han sido atacadas sistemáticamente.
Ejemplos de líneas de asunto en alemán utilizadas por FIN11 para correos electrónicos de phishing de junio a septiembre
- Registro diario 20.01.2020/XNUMX/XNUMX
- notificación de enfermedad
- oferta
- reporte de accidente
- nuevo documento
- Pedido 14-3863-524-006 de junio: centro de facturación 3&1
- Orden 19/2002-021
Obtenga más información en FireEye.com
Acerca de Trellix Trellix es una empresa global que redefine el futuro de la ciberseguridad. La plataforma abierta y nativa de detección y respuesta extendida (XDR) de la empresa ayuda a las organizaciones que enfrentan las amenazas más avanzadas de la actualidad a ganar confianza en que sus operaciones están protegidas y son resistentes. Los expertos en seguridad de Trellix, junto con un amplio ecosistema de socios, aceleran la innovación tecnológica a través del aprendizaje automático y la automatización para brindar soporte a más de 40.000 XNUMX clientes empresariales y gubernamentales.