0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

FIN11黑客组织加入勒索软件计划,主要针对北美欧洲等窃取数据

如意 来源:今日头条 作者:墙头说安全 2020-10-15 14:19 次阅读

FIN11是一个有经济动机的黑客组织,其历史至少从2016年开始,它已经调整了恶意电子邮件活动,将其转变为勒索软件作为主要的盈利方式。

该集团运营着大量业务,最近主要针对北美和欧洲几乎所有行业部门的公司窃取数据和部署Clop勒索软件。

黑客早期的恶意活动主要集中在金融、零售和餐饮业的组织上。在过去的几年里,FIN11的攻击在受害者类型和地理位置上都更加不分青红皂白。

从8月开始,网络犯罪分子攻击了国防、能源、金融、医疗/制药、法律、电信、技术和运输部门的组织。

FireEye公司Mandiant的安全研究人员告诉BleepingComputer,FIN11的目标是向受害者发送恶意电子邮件,并分发他们跟踪的恶意软件下载程序FRIENDSPEAK。

他们使用各种诱饵,如汇款文件、发票递送或公司奖金的机密信息以及恶意的HTML附件,从一个可能是被破坏的网站加载内容(iframe或嵌入标签),这些内容通常带有日期,表示放弃。

Mandiant威胁情报公司(Mandiant Threat Intelligence)的高级分析经理金伯利·古迪(Kimberly Goody)告诉我们,受害者必须先完成验证码挑战,然后才能收到带有恶意宏代码的Excel电子表格。

一旦执行,该代码将交付FRIENDSPEAK,后者下载了另一个据信是FIN11特有的恶意软件MIXLABEL。后者在许多情况下被配置为与模拟Microsoft Store(us Microsoft Store[[com)的命令和控制域联系

古迪在电子邮件中说,这些策略在9月份的竞选活动中非常活跃,不过这位演员修改了Office文档中的宏,还添加了地理围栏技术。

Mandiant今天发布了FIN11活动及其向勒索软件过渡的概述。研究人员将该组织视为一个独立的威胁参与者,注意到它在战术、技术和TA505所使用的恶意软件方面有着显著的重叠。

TA505是另一个高调的网络犯罪团伙,部署了Clop勒索软件。最近,它开始利用Windows中的zeroologon关键缺陷来获取组织的域控制器的管理员级权限。

区分这两个行为体的依据是观察到的活动,以及“在TA505上尚未公开报道的妥协后战术、技术和程序(TTP)的不断发展”

FIN11还使用了Faultedamyy,这是一个恶意软件下载器,在来自TA505和沉默(一个针对世界各地银行的黑客组织)的攻击中都可以看到。这表明这三个组都有一个共同的恶意软件开发人员。

尽管与TA505有很强的相似性,但将某些活动归因于FIN11是很困难的,因为这两个组织都使用恶意软件和犯罪服务提供商,这在某些情况下可能会导致错误归因。

Mandiant hass自2016年以来一直在跟踪FIN11,并通过可独立验证的观察活动对其进行了定义。TA505至少从2014年开始就存在,研究人员并未将其早期操作归因于FIN11。

赚钱策略

针对FIN11扔下Clop勒索软件的事件,Mandiant发现演员在失去访问权限后并没有放弃目标。

在一个案例中,几个月后,他们通过多个电子邮件活动重新危害了公司。在另一个案例中,FIN11在公司从备份中恢复受感染的服务器后重新获得了访问权限。

研究人员没有具体说明他们所调查的事件的赎金要求,但指出勒索软件补救公司Coveware指出,赎金数额在几十万到一千万美元之间。

Mandiant说,有一次他们没有部署Clop勒索软件,演员试图勒索受害者,威胁说要发布或出售被盗数据。

基于CIS的参与者

根据他们的分析,研究人员对FIN11来自独立国家联合体(独联体-前苏联国家)有适度的信心。

支持这一评估的是俄语文件元数据,仅在独联体国家以外使用键盘布局的机器上部署Clop勒索软件,并且在俄罗斯新年和东正教圣诞节期间活动减少。

Mandiant认为,FIN11“能够访问的组织网络远远超过他们能够成功盈利的数量”,并根据受害者的位置、地理位置和安全态势来选择是否值得利用。

由于数据盗窃和勒索现在已成为其货币化方法的一部分,FIN11可能会对拥有敏感专有数据的受害者表现出更大的兴趣,这些数据有更高的几率支付赎金来恢复他们的文件。
责编AJX

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 数据
    +关注

    关注

    8

    文章

    6874

    浏览量

    88801
  • 网络安全
    +关注

    关注

    10

    文章

    3124

    浏览量

    59583
  • 勒索病毒
    +关注

    关注

    1

    文章

    69

    浏览量

    9446
收藏 人收藏

    评论

    相关推荐

    PanoSim加入MathWorks Connections计划

    近期,浙江天行健智能科技有限公司(PanoSim)已加入 MathWorksConnections 计划 ,进一步加强了与国际著名工程计算软件开发商 MathWorks 的合作关系。该计划
    的头像 发表于 10-31 16:40 233次阅读

    字节跳动计划欧洲设立AI研发中心

    ,以加强其在全球AI领域的技术实力。 尼尔的加入和字节跳动计划欧洲设立AI研发中心,都表明了字节跳动对欧洲市场的重视和拓展意图。通过在欧洲
    的头像 发表于 10-28 11:04 476次阅读

    imec主导汽车Chiplet计划,多家巨头企业加入

    近日,比利时微电子研究实验室imec宣布了一项重要进展,其主导的汽车Chiplet计划已成功吸引了多家欧洲及国际知名企业加入。这些企业包括Arm、宝马、博世、SiliconAuto、西门子和Valeo
    的头像 发表于 10-14 17:04 408次阅读

    高鸿信安推出可信“AI+”勒索病毒解决方案

    勒索病毒是一种极具破坏性、传播性的恶意软件主要利用多种密码算法加密用户数据,恐吓、胁迫、勒索用户高额赎金。近期,
    的头像 发表于 09-19 15:00 414次阅读

    AMD遇黑客攻击,但称运营无大碍

    近日,科技圈传来一则震惊的消息:全球知名的半导体制造商AMD公司遭遇了黑客组织的攻击。据悉,一个名为Intelbroker的黑客组织成功入侵了AMD的系统,并盗取了包括未来产品详细信息
    的头像 发表于 06-24 11:00 490次阅读

    广东跃昉科技加入甲辰计划

    广东跃昉科技有限公司近日宣布加入甲辰计划,目标是在2036龙年之前,通过RISC-V技术,实现信息产业全覆盖。该公司计划构建从数据中心到桌面办公、移动穿戴设备乃至智能物联网的开放标准体
    的头像 发表于 05-31 10:03 470次阅读

    微软Windows快捷助手被黑客滥用,远程管理软件或成攻击突破口

    该安全公司指出,此次攻击可能出自勒索软件黑客组织Black Basta之手。自四月中旬以来,他们通过网络钓鱼手段诱使受害者开启快速助手并输入安全验证码,因为此功能集成于Windows系
    的头像 发表于 05-16 16:27 606次阅读

    美国医疗巨头Ascension遭勒索软件攻击,涉及140家医院

    据报道,美国非营利性医疗机构 Ascension 于5月8日遭受黑客组织 Black Basta 的勒索软件攻击,导致其旗下140家医院和40家养老院的系统服务受到影响。
    的头像 发表于 05-14 11:37 496次阅读

    Square Enix北美欧洲分社调整发行策略,启动裁员计划

    近期,Square Enix发布的财务报告显示,公司正计划对海外业务部门进行全面重组,并通过结构性改革来降低欧洲及美国办公室的运营成本。
    的头像 发表于 05-14 10:09 323次阅读

    波音遭遇勒索软件攻击,拒付2亿美元赎金

    网络罪犯通过LockBit勒索软件平台于2023年10月展开攻击,并在11月初成功窃取了43GB的波音机密文件,后将其上传至LockBit网站。
    的头像 发表于 05-10 10:41 473次阅读

    群光电子泄露1.2TB内部数据,疑遭黑客攻击

    4 月 22 日消息,电子产品供应链巨头群光电子发布声明表示,其自 4 月 15 日起遭受黑客组织 Hunters International 的攻击,导致逾 1.2TB 内部数据(共 4140652 份文件)被
    的头像 发表于 04-22 15:45 490次阅读

    应对勒索病毒,群晖数据保护黄金架构,多维度保护企业安全

    数据丢失? 根据 Zscaler 安全威胁实验室发布的《2023 年全球勒索软件报告》,截至 2023 年 10 月,全球勒索软件攻击数量同
    的头像 发表于 04-22 13:57 416次阅读
    应对<b class='flag-5'>勒索</b>病毒,群晖<b class='flag-5'>数据</b>保护黄金架构,多维度保护企业安全

    京鼎遭黑客集团入侵,多国执法组织抓捕黑客集团

    据趋势科技的数据分析,LockBit自2022年以来稳坐全球勒索软件组织榜首,从2020年至2023年第一季度已攻击全球1653家组织,其中
    的头像 发表于 02-21 16:53 1159次阅读

    施耐德电气遭勒索软件攻击,大量机密数据泄露

    Cactus是一种新颖的勒索软件,首次出现于2023年5月,其独有的加密机制可避免常规检测。此外,Cactus具备多种加密选项,包含快速模式。若攻击者选择连贯执行两种模式,受害方文件将被双重加密,附件会添加两个不同的扩展名。
    的头像 发表于 01-31 10:51 1301次阅读

    台湾半导体公司遭遇勒索软件攻击

    窃取了客户的个人数据,如果公司拒绝付款,他们将在其暗网网站上发布这些数据勒索信中写道:“请记住,一旦公司数据出现在我们的泄露网站上,您的
    的头像 发表于 01-18 16:15 506次阅读