Хакеры из FIN11 перешли на использование программ-вымогателей

Хакеры из FIN11 перешли на использование программ-вымогателей

Преступники атакуют компании в различных сферах с целью похитить персональные данные и загрузить вымогательское ПО Clop.

Финансово мотивированная хакерская группировка FIN11 изменила свою тактику и теперь перешла на использование программ-вымогателей в качестве основного метода монетизации.

Группировка осуществляет крупномасштабные операции, в последнее время атакуя компании в Северной Америке и Европе из самых разных секторов промышленности с целью похитить персональные данные и загрузить вымогательское ПО Clop. Начиная с августа нынешнего года, киберпреступники атаковали организации в сфере обороны, энергетики, финансов, здравоохранения, фармацевтики, телекоммуникаций, технологий и транспорта.

Как сообщили исследователи безопасности из компании Mandiant (дочерняя компания FireEye), FIN11 в ходе атак использовала вредоносные электронные письма, распространяющие загрузчик вредоносных программ FRIENDSPEAK. Преступники использовали различные приманки, такие как документы о денежных переводах, доставка счетов-фактур или конфиденциальная информация о бонусах компании с вредоносными HTML-вложениями для загрузки контента со взломанного web-сайта.

Жертвы должны были пройти проверку CAPTCHA, прежде чем им будет представлена ​​электронная таблица Excel с вредоносным кодом макроса. После выполнения код загружал FRIENDSPEAK, который в свою очередь загружал еще одно вредоносное ПО MIXLABEL, специфичное для FIN11. Последнее во многих случаях было настроено для связи с доменом C&C-сервера, замаскированного под ресурс Microsoft Store.

Анализируя кибератаки, в рамках которых FIN11 загружала вымогатель Clop, эксперты обнаружили, что злоумышленники не покидали сеть жертвы после потери доступа. В одном случае через несколько месяцев они повторно скомпрометировали организацию с помощью нескольких кампаний по электронной почте. В другом случае FIN11 возобновила доступ после того, как компания-жертва восстановила зараженные серверы из резервных копий.

В одном случае, когда хакеры не развернули программу-вымогатель Clop, группировка вымогала у жертвы выкуп, угрожая раскрыть или продать украденные данные.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.