Hackergruppe FIN11 phischt weiter

FireEye News

Beitrag teilen

Die recht neu entdeckte Hackergruppe FIN11 hat sich auf Ransomware und Erpressung spezialisiert. Sie hat in den vergangenen Monaten vermehrt deutsche und deutschsprachige Unternehmen ins Visier genommen. Die Hacker operieren vermutlich aus der Gemeinschaft Unabhängiger Staaten (GUS) heraus.

“In den letzten Jahren gab es einen drastischen Anstieg von aggressiven Ransomware-Angriffen auf Unternehmen; Mandiant reagierte 2019 auf fast 300 Prozent mehr Ransomware-Attacken als noch im Jahr zuvor.” So Genevieve Stark, Analyst bei Mandiant Threat Intelligence. Die Hackergruppe FIN11 steht beispielhaft für diesen Trend, bei dem Cyberkriminelle eher Ransomware einsetzen, um ihre Aktivitäten zu Geld zu machen, statt beispielsweise Malware am Point-of-Sale einzusetzen, um bei finanziellen Transaktionen Kreditkartendetails abzugreifen. FIN11 betreibt ein hybrides Erpressungsmodell: Sie stehlen Daten der Opfer, verbreiten CLOP-Ransomware und drohen dann mit der Veröffentlichung der erbeuteten Daten im Internet, um ihre Opfer zur Zahlung von Lösegeld zu zwingen. Diese Forderungen reichen von einigen hunderttausend US-Dollar bis zu 10 Millionen US-Dollar.

Hackergruppe zielte auf Pharmaunternehmen

Dabei fällt die Gruppe durch ein besonders unverfrorenes Vorgehen auf: Anfang 2020 nahm sie vermehrt Pharmaunternehmen ins Visier, als diese durch die Corona-Pandemie besonders verwundbar waren.

Die auf der CL0P^_-LEAKS-Website im Darknet aufgeführten mutmaßlichen Opfer sind meist in Europa ansässig: Etwa die Hälfte der betroffenen Unternehmen haben ihren Sitz in Deutschland. Diese sind in einer Vielzahl von Branchen tätig, darunter Automobil, verarbeitende Industrie, Technologie, Textil – auch Versorgungsunternehmen waren unter den mutmaßlichen deutschen Opfern. Während die Website CL0P^_-LEAKS ein unvollständiges Bild der Zielpersonen von FIN11 vermittelt – dort sind Unternehmen aufgeführt, die angegriffen wurden und sich weigerten, Lösegeld zu bezahlen –, deuten auch die deutschsprachigen E-Mails, die FIN11 in vielen Phishing-Kampagnen 2020 verwendet hat, darauf hin, dass sie aktiv Firmen ins Visier genommen haben, die im deutschsprachigen Raum tätig sind.

Gezielte Unternehmensattacken

Während diese Kampagnen in erster Linie wohl auf deutsche Unternehmen abzielten, nahmen sie oft auch Firmen in anderen Ländern – in Österreich beispielsweise – ins Visier. Darüber hinaus haben wir Fälle beobachtet, in denen sowohl ein deutsches Unternehmen als auch seine Tochtergesellschaften in anderen Ländern konsequent angegriffen wurden.

Beispiele für deutschsprachige Betreffzeilen, die FIN11 für Phishing-E-Mails von Juni bis September verwendet hat

  • Tagesprotokoll 20.01.2020
  • Krankmeldung
  • Angebot
  • Unfallbericht
  • Neues Dokument
  • Bestellung 14-3863-524-006June 3: 1&1 Rechnungsstelle
  • Bestellung 19/2002-021

 

Mehr dazu bei FireEye.com

 


Über Trellix

Trellix ist ein globales Unternehmen, das die Zukunft der Cybersicherheit neu definiert. Die offene und native XDR-Plattform (Extended Detection and Response) des Unternehmens hilft Unternehmen, die mit den fortschrittlichsten Bedrohungen von heute konfrontiert sind, Vertrauen in den Schutz und die Ausfallsicherheit ihrer Betriebsabläufe zu gewinnen. Die Sicherheitsexperten von Trellix beschleunigen zusammen mit einem umfangreichen Partner-Ökosystem technologische Innovationen durch maschinelles Lernen und Automatisierung, um über 40.000 Geschäfts- und Regierungskunden zu unterstützen.


 

Passende Artikel zum Thema

Report: 40 Prozent mehr Phishing weltweit

Der aktuelle Spam- und Phishing-Report von Kaspersky für das Jahr 2023 spricht eine eindeutige Sprache: Nutzer in Deutschland sind nach ➡ Weiterlesen

BSI legt Mindeststandard für Webbrowser fest

Das BSI hat den Mindeststandard für Webbrowser für die Verwaltung überarbeitet und in der Version 3.0 veröffentlicht. Daran können sich ➡ Weiterlesen

Tarnkappen-Malware zielt auf europäische Unternehmen

Hacker greifen mit Tarnkappen-Malware viele Unternehmen in ganz Europa an. ESET Forscher haben einen dramatischen Anstieg von sogenannten AceCryptor-Angriffen via ➡ Weiterlesen

IT-Security: Grundlage für LockBit 4.0 entschärft

in Zusammenarbeit mit der britischen National Crime Agency (NCA) analysierte Trend Micro die in der Entwicklung befindliche und unveröffentlichte Version ➡ Weiterlesen

MDR und XDR via Google Workspace

Ob im Cafe, Flughafen-Terminal oder im Homeoffice – Mitarbeitende arbeiten an vielen Orten. Diese Entwicklung bringt aber auch Herausforderungen mit ➡ Weiterlesen

Test: Security-Software für Endpoints und Einzel-PCs

Die letzten Testergebnisse aus dem Labor von AV-TEST zeigen eine sehr gute Leistung von 16 etablierten Schutzlösungen für Windows an ➡ Weiterlesen

FBI: Internet Crime Report zählt 12,5 Milliarden Dollar Schaden 

Das Internet Crime Complaint Center (IC3) des FBI hat seinen Internet Crime Report 2023 veröffentlicht, der Informationen aus über 880.000 ➡ Weiterlesen

HeadCrab 2.0 entdeckt

Die seit 2021 aktive Kampagne HeadCrab gegen Redis-Server infiziert mit neuer Version weiterhin erfolgreich Ziele. Der Mini-Blog der Kriminellen im ➡ Weiterlesen