Il gruppo di hacker FIN11, scoperto relativamente di recente, è specializzato in ransomware ed estorsione. Negli ultimi mesi ha preso di mira sempre più aziende tedesche e di lingua tedesca. Si ritiene che gli hacker operino al di fuori della Comunità degli Stati Indipendenti (CSI).
“Negli ultimi anni, c'è stato un drammatico aumento degli attacchi ransomware aggressivi contro le aziende; Mandiant ha risposto a quasi il 2019% in più di attacchi ransomware nel 300 rispetto all'anno precedente". Così dice Genevieve Stark, analista di Mandiant Threat Intelligence. Il gruppo di hacker FIN11 esemplifica questa tendenza, con i criminali informatici che utilizzano il ransomware per monetizzare le proprie attività anziché, ad esempio, il malware del punto vendita per rubare i dettagli della carta di credito durante le transazioni finanziarie. FIN11 gestisce un modello di estorsione ibrido: ruba i dati delle vittime, distribuisce il ransomware CLOP e quindi minaccia di pubblicare i dati rubati online per costringere le vittime a pagare un riscatto. Queste affermazioni vanno da poche centinaia di migliaia di dollari USA fino a 10 milioni di dollari USA.
Il gruppo di hacker ha preso di mira le aziende farmaceutiche
Il gruppo si distingue per il suo approccio particolarmente sfacciato: all'inizio del 2020, ha preso di mira sempre più le aziende farmaceutiche quando erano particolarmente vulnerabili alla pandemia di corona.
Le presunte vittime elencate sul sito CL0P^_-LEAKS sul dark web hanno sede per lo più in Europa: circa la metà delle aziende interessate ha sede in Germania. Questi sono attivi in una varietà di settori, tra cui automobilistico, manifatturiero, tecnologico, tessile - anche i servizi di pubblica utilità erano tra le presunte vittime tedesche. Mentre il sito web CL0P^_-LEAKS fornisce un quadro incompleto degli obiettivi di FIN11 - elenca le aziende che sono state attaccate e si sono rifiutate di pagare il riscatto - anche le e-mail in lingua tedesca utilizzate da FIN11 in molte campagne di phishing nel 2020 indicano che stavano attivamente prendendo di mira le aziende che operano nei paesi di lingua tedesca.
Attacchi aziendali mirati
Sebbene queste campagne si rivolgessero probabilmente principalmente alle aziende tedesche, spesso prendevano di mira anche aziende di altri paesi, come l'Austria. Inoltre, abbiamo osservato casi in cui sia un'azienda tedesca che le sue filiali in altri paesi sono state costantemente attaccate.
Esempi di righe dell'oggetto in lingua tedesca utilizzate da FIN11 per le e-mail di phishing da giugno a settembre
- Registro giornaliero 20.01.2020/XNUMX/XNUMX
- notifica di malattia
- Offerta
- denuncia di infortunio
- nuovo documento
- Ordine 14-3863-524-006 giugno: centro di fatturazione 3&1
- Ordinanza 19/2002-021
Ulteriori informazioni su FireEye.com
A proposito di Trellix Trellix è un'azienda globale che ridefinisce il futuro della sicurezza informatica. La piattaforma XDR (Extended Detection and Response) aperta e nativa dell'azienda aiuta le organizzazioni che affrontano le minacce più avanzate di oggi a ottenere la certezza che le loro operazioni siano protette e resilienti. Gli esperti di sicurezza di Trellix, insieme a un vasto ecosistema di partner, accelerano l'innovazione tecnologica attraverso l'apprendimento automatico e l'automazione per supportare oltre 40.000 clienti aziendali e governativi.