Hackergruppe FIN11 phischt weiter

FireEye News
Anzeige

Beitrag teilen

Die recht neu entdeckte Hackergruppe FIN11 hat sich auf Ransomware und Erpressung spezialisiert. Sie hat in den vergangenen Monaten vermehrt deutsche und deutschsprachige Unternehmen ins Visier genommen. Die Hacker operieren vermutlich aus der Gemeinschaft Unabhängiger Staaten (GUS) heraus.

„In den letzten Jahren gab es einen drastischen Anstieg von aggressiven Ransomware-Angriffen auf Unternehmen; Mandiant reagierte 2019 auf fast 300 Prozent mehr Ransomware-Attacken als noch im Jahr zuvor.“ So Genevieve Stark, Analyst bei Mandiant Threat Intelligence. Die Hackergruppe FIN11 steht beispielhaft für diesen Trend, bei dem Cyberkriminelle eher Ransomware einsetzen, um ihre Aktivitäten zu Geld zu machen, statt beispielsweise Malware am Point-of-Sale einzusetzen, um bei finanziellen Transaktionen Kreditkartendetails abzugreifen. FIN11 betreibt ein hybrides Erpressungsmodell: Sie stehlen Daten der Opfer, verbreiten CLOP-Ransomware und drohen dann mit der Veröffentlichung der erbeuteten Daten im Internet, um ihre Opfer zur Zahlung von Lösegeld zu zwingen. Diese Forderungen reichen von einigen hunderttausend US-Dollar bis zu 10 Millionen US-Dollar.

Anzeige

Hackergruppe zielte auf Pharmaunternehmen

Dabei fällt die Gruppe durch ein besonders unverfrorenes Vorgehen auf: Anfang 2020 nahm sie vermehrt Pharmaunternehmen ins Visier, als diese durch die Corona-Pandemie besonders verwundbar waren.

Die auf der CL0P^_-LEAKS-Website im Darknet aufgeführten mutmaßlichen Opfer sind meist in Europa ansässig: Etwa die Hälfte der betroffenen Unternehmen haben ihren Sitz in Deutschland. Diese sind in einer Vielzahl von Branchen tätig, darunter Automobil, verarbeitende Industrie, Technologie, Textil – auch Versorgungsunternehmen waren unter den mutmaßlichen deutschen Opfern. Während die Website CL0P^_-LEAKS ein unvollständiges Bild der Zielpersonen von FIN11 vermittelt – dort sind Unternehmen aufgeführt, die angegriffen wurden und sich weigerten, Lösegeld zu bezahlen –, deuten auch die deutschsprachigen E-Mails, die FIN11 in vielen Phishing-Kampagnen 2020 verwendet hat, darauf hin, dass sie aktiv Firmen ins Visier genommen haben, die im deutschsprachigen Raum tätig sind.

Anzeige

Gezielte Unternehmensattacken

Während diese Kampagnen in erster Linie wohl auf deutsche Unternehmen abzielten, nahmen sie oft auch Firmen in anderen Ländern – in Österreich beispielsweise – ins Visier. Darüber hinaus haben wir Fälle beobachtet, in denen sowohl ein deutsches Unternehmen als auch seine Tochtergesellschaften in anderen Ländern konsequent angegriffen wurden.

Beispiele für deutschsprachige Betreffzeilen, die FIN11 für Phishing-E-Mails von Juni bis September verwendet hat

  • Tagesprotokoll 20.01.2020
  • Krankmeldung
  • Angebot
  • Unfallbericht
  • Neues Dokument
  • Bestellung 14-3863-524-006June 3: 1&1 Rechnungsstelle
  • Bestellung 19/2002-021

 

Mehr dazu bei FireEye.com

 


Über Trellix

Trellix ist ein globales Unternehmen, das die Zukunft der Cybersicherheit neu definiert. Die offene und native XDR-Plattform (Extended Detection and Response) des Unternehmens hilft Unternehmen, die mit den fortschrittlichsten Bedrohungen von heute konfrontiert sind, Vertrauen in den Schutz und die Ausfallsicherheit ihrer Betriebsabläufe zu gewinnen. Die Sicherheitsexperten von Trellix beschleunigen zusammen mit einem umfangreichen Partner-Ökosystem technologische Innovationen durch maschinelles Lernen und Automatisierung, um über 40.000 Geschäfts- und Regierungskunden zu unterstützen.


 

Passende Artikel zum Thema

E-Learnings für Mitarbeiter: Tricks der Phisher kennenlernen

Neue E-Learnings von G DATA: Im Storymodus die Tricks der Phisher kennenlernen. Siebenteilige Lernreihe vom Cyber-Defense-Unternehmen sorgt für besseren Lernerfolg ➡ Weiterlesen

BSI: Immer mehr Menschen von Cyber-Attacken betroffen

Das BSI, das Bundesamt für Sicherheit in der Informationstechnik, veröffentlicht zweiten Bericht zum Digitalen Verbraucherschutz. Der Bericht zeigt laut BSI ➡ Weiterlesen

Cyberangriff auf Energieversorger Entega

Energieversorger Entega ist Opfer eines Cyberangriffs geworden. Die vorerst gute Nachricht: Die kritische Infrastruktur des Darmstädter Energieversorgers sei nicht betroffen ➡ Weiterlesen

Finanzbranche: 91 Prozent von Cyber-Sicherheitsvorfällen betroffen

Die Finanzbranche in Deutschland sieht sich mit einer Vielzahl von Bedrohungen konfrontiert – das ergibt die aktuelle Kaspersky-Studie „Cybersicherheit: Finanzbranche ➡ Weiterlesen

Gefälschten Vanity-URLs bei Zoom und Google

URL-Spoofing ermöglicht gezielte Social-Engineering-Angriffe. Varonis warnt vor gefälschten Vanity-URLs bei Zoom und Google. Die Varonis Threat Labs haben bei Zoom, Box und ➡ Weiterlesen

Voice-Phishing: Vishing-Angriffe auf Rekordniveau

Voice-Phishing: Vishing-Angriffe haben seit dem dritten Quartal 2021 die Kompromittierung geschäftlicher E-Mails (Business Email Compromise, BEC) als zweithäufigste gemeldete E-Mail-Bedrohung ➡ Weiterlesen

Phishing: Zwei Millionen Angriffe über HTML-Dateien

Kaspersky-Experten warnen vor der wachsenden Bedrohung durch Phishing-E-Mails mit HTML-Dateien [1]. Von Januar bis April 2022 blockierte Kaspersky fast zwei ➡ Weiterlesen

Fake-Shops verbreiten Schad-Apps und zielen auf Bankdaten

Experten des europäischen IT-Sicherheitsherstellers ESET haben eine noch immer andauernde Cybercrime-Kampagne entdeckt und analysiert. Ahnungslose Online-Shopper sollen zum Download von ➡ Weiterlesen