Η ομάδα hacking FIN11 που στοχεύει οργανισμούς σε όλο τον κόσμο με καμπάνιες ηλεκτρονικού ψαρέματος (phishing) και malware, η οποία είναι ενεργή από το 2016 έχει πλέον μεταβεί στις επιθέσεις ransomware, αντικατοπτρίζοντας το πόσο κερδοφόρες είναι οι επιθέσεις ransomware για τους χάκερ.
Η καμπάνια έχει αναλυθεί από τους ερευνητές του FireEye Mandiant, οι οποίοι περιγράφουν τους χάκερ ως μια «καθιερωμένη ομάδα οικονομικού εγκλήματος» που έχει πραγματοποιήσει μερικές από τις πιο μακροχρόνιες εκστρατείες hacking.
Η ομάδα ξεκίνησε κάνοντας επιθέσεις σε τράπεζες, λιανοπωλητές και εστιατόρια, αλλά έχει αναπτυχθεί για να στοχεύει ένα ευρύ φάσμα τομέων σε διαφορετικές περιοχές σε όλο τον κόσμο, στέλνοντας χιλιάδες ηλεκτρονικά μηνύματα ηλεκτρονικού “ψαρέματος” (phishing emails) και ταυτόχρονα πραγματοποιώντας επιθέσεις εναντίον πολλών οργανισμών οποιαδήποτε στιγμή.
Για παράδειγμα, σε μία μόνο εβδομάδα, η Mandiant παρατήρησε ταυτόχρονες εκστρατείες που στόχευαν φαρμακευτικές, ναυτιλιακές και βιομηχανίες logistics τόσο στη Βόρεια Αμερική όσο και στην Ευρώπη.
Ωστόσο, παρά τις επιθέσεις που στοχεύουν μια μεγάλη ποικιλία οργανισμών σε όλο τον κόσμο, πολλές από τις αρχικές καμπάνιες ηλεκτρονικού ψαρέματος (phishing) εξακολουθούν να είναι προσαρμοσμένες στον στόχο για να ενθαρρύνουν ένα θύμα να κατεβάσει ένα κακόβουλο συνημμένο του Microsoft Office που αναφέρει ότι πρέπει να ενεργοποιηθούν οι μακροεντολές.
Αυτό ξεκινά ένα «infection chain» που δημιουργεί πολλά backdoors σε παραβιασμένα συστήματα, καθώς και τη δυνατότητα ανάκτησης των admin credentials και της πλευρικής μετακίνησης στα δίκτυα.
Οι εκστρατείες της FIN11 αρχικά ενσωματώνονταν σε δίκτυα για να κλέψουν δεδομένα, με τους ερευνητές να σημειώνουν ότι η ομάδα hacking χρησιμοποιούσε συνήθως το BlueSteal, ένα εργαλείο που χρησιμοποιείται για την κλοπή τραπεζικών πληροφοριών από τα Point-of-Sale (POS) τερματικά.
Με τα οικονομικά να είναι το επίκεντρο της ομάδας, είναι πιθανό η FIN11 να πουλούσε αυτές τις πληροφορίες σε άλλους κυβερνοεγκληματίες στο dark web ή απλώς να εκμεταλλευόταν τις λεπτομέρειες για δικό της όφελος.
Αλλά τώρα η FIN11 χρησιμοποιεί το εκτεταμένο δίκτυο της ως μέσο παράδοσης του ransomware σε παραβιασμένα δίκτυα, με τους επιτιθέμενους να διασπείρουν το Clop ransomware και να απαιτούν λύτρα σε bitcoin για την αποκατάσταση του δικτύου.
Με απλά λόγια, αυτή η αλλαγή τακτικής έχει να κάνει με το ότι η ομάδα θέλει να κερδίσει όσο το δυνατόν περισσότερα χρήματα – και το ransomware έχει γίνει ένας γρήγορος και εύκολος τρόπος να κερδίσουν χρήματα οι εγκληματίες του κυβερνοχώρου καθώς είναι ευρύτερη η ποικιλία των στόχων.
Σε μια προσπάθεια εκβιασμού των θυμάτων να πληρώσουν τα λύτρα, ορισμένες συμμορίες ransomware έχουν χρησιμοποιήσει την πρόσβασή τους στα δίκτυα για να κλέψουν ευαίσθητα ή προσωπικά δεδομένα και απειλούν ότι θα τα διαρρεύσουν εάν δεν λάβουν τα χρήματα που ζητούν για το κλειδί αποκρυπτογράφησης – και η FIN11 το έχει υιοθετήσει σαν τακτική.
