O relativamente recém-descoberto grupo de hackers FIN11 é especializado em ransomware e extorsão. Nos últimos meses, ela tem visado cada vez mais empresas alemãs e de língua alemã. Acredita-se que os hackers estejam operando fora da Comunidade de Estados Independentes (CEI).
“Nos últimos anos, houve um aumento dramático nos ataques agressivos de ransomware às empresas; A Mandiant respondeu a quase 2019% mais ataques de ransomware em 300 do que no ano anterior." É o que diz Genevieve Stark, analista da Mandiant Threat Intelligence. O grupo de hackers FIN11 exemplifica essa tendência, com cibercriminosos usando ransomware para monetizar suas atividades em vez de, digamos, malware de ponto de venda para roubar detalhes de cartão de crédito durante transações financeiras. O FIN11 opera um modelo de extorsão híbrido: eles roubam os dados das vítimas, distribuem o ransomware CLOP e, em seguida, ameaçam publicar os dados roubados online para forçar suas vítimas a pagar resgates. Essas reivindicações variam de algumas centenas de milhares de dólares americanos a até 10 milhões de dólares americanos.
Grupo de hackers visava empresas farmacêuticas
O grupo se destaca por sua abordagem particularmente ousada: no início de 2020, ele visava cada vez mais as empresas farmacêuticas quando elas eram particularmente vulneráveis à pandemia de corona.
As supostas vítimas listadas no site CL0P^_-LEAKS na dark web são baseadas principalmente na Europa: cerca de metade das empresas afetadas são baseadas na Alemanha. Estes são ativos em uma variedade de indústrias, incluindo automotiva, manufatura, tecnologia, têxteis - serviços públicos também estavam entre as supostas vítimas alemãs. Embora o site CL0P^_-LEAKS forneça uma imagem incompleta dos alvos do FIN11 - lista empresas que foram atacadas e se recusaram a pagar o resgate - os e-mails em alemão que o FIN11 usou em muitas campanhas de phishing em 2020 também indicam que eles estavam visando ativamente empresas que operam em países de língua alemã.
Ataques corporativos direcionados
Embora essas campanhas visassem principalmente empresas alemãs, muitas vezes também visavam empresas de outros países, como a Áustria. Além disso, observamos casos em que uma empresa alemã e suas subsidiárias em outros países foram constantemente atacadas.
Exemplos de linhas de assunto em alemão usadas pelo FIN11 para e-mails de phishing de junho a setembro
- Registro diário 20.01.2020/XNUMX/XNUMX
- notificação de doença
- oferta
- relatório de acidente
- Novo Documento
- Pedido 14-3863-524-006 3 de junho: 1&1 centro de cobrança
- Ordem 19/2002-021
Saiba mais em FireEye.com
Sobre a Trellix A Trellix é uma empresa global que está redefinindo o futuro da cibersegurança. A plataforma aberta e nativa de detecção e resposta estendida (XDR) da empresa ajuda as organizações que enfrentam as ameaças mais avançadas de hoje a ganhar a confiança de que suas operações estão protegidas e resilientes. Os especialistas em segurança da Trellix, juntamente com um amplo ecossistema de parceiros, aceleram a inovação tecnológica por meio de aprendizado de máquina e automação para oferecer suporte a mais de 40.000 clientes empresariais e governamentais.