Die recht neu entdeckte Hackergruppe FIN11 hat sich auf Ransomware und Erpressung spezialisiert. Sie hat in den vergangenen Monaten vermehrt deutsche und deutschsprachige Unternehmen ins Visier genommen. Die Hacker operieren vermutlich aus der Gemeinschaft Unabhängiger Staaten (GUS) heraus.
„In den letzten Jahren gab es einen drastischen Anstieg von aggressiven Ransomware-Angriffen auf Unternehmen; Mandiant reagierte 2019 auf fast 300 Prozent mehr Ransomware-Attacken als noch im Jahr zuvor.“ So Genevieve Stark, Analyst bei Mandiant Threat Intelligence. Die Hackergruppe FIN11 steht beispielhaft für diesen Trend, bei dem Cyberkriminelle eher Ransomware einsetzen, um ihre Aktivitäten zu Geld zu machen, statt beispielsweise Malware am Point-of-Sale einzusetzen, um bei finanziellen Transaktionen Kreditkartendetails abzugreifen. FIN11 betreibt ein hybrides Erpressungsmodell: Sie stehlen Daten der Opfer, verbreiten CLOP-Ransomware und drohen dann mit der Veröffentlichung der erbeuteten Daten im Internet, um ihre Opfer zur Zahlung von Lösegeld zu zwingen. Diese Forderungen reichen von einigen hunderttausend US-Dollar bis zu 10 Millionen US-Dollar.
Hackergruppe zielte auf Pharmaunternehmen
Dabei fällt die Gruppe durch ein besonders unverfrorenes Vorgehen auf: Anfang 2020 nahm sie vermehrt Pharmaunternehmen ins Visier, als diese durch die Corona-Pandemie besonders verwundbar waren.
Die auf der CL0P^_-LEAKS-Website im Darknet aufgeführten mutmaßlichen Opfer sind meist in Europa ansässig: Etwa die Hälfte der betroffenen Unternehmen haben ihren Sitz in Deutschland. Diese sind in einer Vielzahl von Branchen tätig, darunter Automobil, verarbeitende Industrie, Technologie, Textil – auch Versorgungsunternehmen waren unter den mutmaßlichen deutschen Opfern. Während die Website CL0P^_-LEAKS ein unvollständiges Bild der Zielpersonen von FIN11 vermittelt – dort sind Unternehmen aufgeführt, die angegriffen wurden und sich weigerten, Lösegeld zu bezahlen –, deuten auch die deutschsprachigen E-Mails, die FIN11 in vielen Phishing-Kampagnen 2020 verwendet hat, darauf hin, dass sie aktiv Firmen ins Visier genommen haben, die im deutschsprachigen Raum tätig sind.
Gezielte Unternehmensattacken
Während diese Kampagnen in erster Linie wohl auf deutsche Unternehmen abzielten, nahmen sie oft auch Firmen in anderen Ländern – in Österreich beispielsweise – ins Visier. Darüber hinaus haben wir Fälle beobachtet, in denen sowohl ein deutsches Unternehmen als auch seine Tochtergesellschaften in anderen Ländern konsequent angegriffen wurden.
Beispiele für deutschsprachige Betreffzeilen, die FIN11 für Phishing-E-Mails von Juni bis September verwendet hat
- Tagesprotokoll 20.01.2020
- Krankmeldung
- Angebot
- Unfallbericht
- Neues Dokument
- Bestellung 14-3863-524-006June 3: 1&1 Rechnungsstelle
- Bestellung 19/2002-021
Mehr dazu bei FireEye.com
Über Trellix Trellix ist ein globales Unternehmen, das die Zukunft der Cybersicherheit neu definiert. Die offene und native XDR-Plattform (Extended Detection and Response) des Unternehmens hilft Unternehmen, die mit den fortschrittlichsten Bedrohungen von heute konfrontiert sind, Vertrauen in den Schutz und die Ausfallsicherheit ihrer Betriebsabläufe zu gewinnen. Die Sicherheitsexperten von Trellix beschleunigen zusammen mit einem umfangreichen Partner-Ökosystem technologische Innovationen durch maschinelles Lernen und Automatisierung, um über 40.000 Geschäfts- und Regierungskunden zu unterstützen.