Le groupe de hackers FIN11, relativement récent, est spécialisé dans les ransomwares et l'extorsion. Ces derniers mois, elle cible de plus en plus les entreprises allemandes et germanophones. On pense que les pirates opèrent à partir de la Communauté des États indépendants (CEI).
« Ces dernières années, il y a eu une augmentation spectaculaire des attaques agressives de ransomwares contre les entreprises ; Mandiant a répondu à près de 2019 % d'attaques de rançongiciels en plus en 300 que l'année précédente. » C'est ce que dit Genevieve Stark, analyste chez Mandiant Threat Intelligence. Le groupe de pirates FIN11 illustre cette tendance, les cybercriminels utilisant des rançongiciels pour monétiser leurs activités plutôt que, par exemple, des logiciels malveillants au point de vente pour voler les détails de la carte de crédit lors de transactions financières. FIN11 exploite un modèle d'extorsion hybride : ils volent les données des victimes, distribuent le rançongiciel CLOP, puis menacent de publier les données volées en ligne afin de forcer leurs victimes à payer des rançons. Ces réclamations vont de quelques centaines de milliers de dollars américains à 10 millions de dollars américains.
Un groupe de hackers ciblait des sociétés pharmaceutiques
Le groupe se distingue par son approche particulièrement effrontée : Début 2020, il ciblait de plus en plus les entreprises pharmaceutiques alors qu'elles étaient particulièrement vulnérables à la pandémie de corona.
Les victimes présumées listées sur le site CL0P^_-LEAKS sur le dark web sont majoritairement basées en Europe : environ la moitié des entreprises concernées sont basées en Allemagne. Ceux-ci sont actifs dans une variété d'industries, y compris l'automobile, la fabrication, la technologie, le textile - les services publics figuraient également parmi les victimes allemandes présumées. Alors que le site Web CL0P^_-LEAKS donne une image incomplète des cibles de FIN11 - il répertorie les entreprises qui ont été attaquées et ont refusé de payer la rançon - les e-mails en allemand que FIN11 a utilisés dans de nombreuses campagnes de phishing en 2020 laissent également entendre qu'ils ciblaient activement les entreprises opérant dans les pays germanophones.
Attaques d'entreprises ciblées
Si ces campagnes visaient sans doute principalement des entreprises allemandes, elles ciblaient souvent aussi des entreprises d'autres pays, comme l'Autriche. En outre, nous avons observé des cas où une entreprise allemande et ses filiales dans d'autres pays ont été systématiquement attaquées.
Exemples de lignes d'objet en allemand utilisées par FIN11 pour les e-mails de phishing de juin à septembre
- Journal du jour 20.01.2020/XNUMX/XNUMX
- déclaration de maladie
- offre
- rapport d'accident
- nouveau document
- Commande 14-3863-524-006 juin : centre de facturation 3&1
- Ordonnance 19/2002-021
En savoir plus sur FireEye.com
À propos de Trellix Trellix est une entreprise mondiale qui redéfinit l'avenir de la cybersécurité. La plate-forme ouverte et native Extended Detection and Response (XDR) de la société aide les organisations confrontées aux menaces les plus avancées d'aujourd'hui à avoir l'assurance que leurs opérations sont protégées et résilientes. Les experts en sécurité de Trellix, ainsi qu'un vaste écosystème de partenaires, accélèrent l'innovation technologique grâce à l'apprentissage automatique et à l'automatisation pour soutenir plus de 40.000 XNUMX clients commerciaux et gouvernementaux.