FIN11 部署 CLOP 勒索軟件，敲詐受害者支付贖金

出于財務動機的黑客組織FIN11已經開始傳播勒索軟件，以將其網絡犯罪活動貨幣化。

該集團針對全球范圍內的公司開展了多項大批量業務，其中大多數在北美和歐洲。

在最近的攻擊中，觀察到該組織將Clop勒索軟件部署到其受害者的網絡中。

自8月以來，FIN11開始針對許多行業的組織，包括國防，能源，金融，醫療保健，法律，制藥，電信，技術和運輸。

FireEye的Mandiant的研究人員觀察到FIN11黑客使用魚叉式網絡釣魚消息分發了名為FRIENDSPEAK的惡意軟件下載器。

“最近，FIN11部署了CLOP勒索軟件，威脅要公布被竊取的數據，迫使受害者支付贖金。FireEye發表的分析中寫道。“該集團轉變盈利方式——從2018年的POS機惡意軟件，到2019年的勒索軟件，再到2020年的混合勒索——是一個更大趨勢的一部分，犯罪分子越來越關注折衷后勒索軟件的部署和數據盜竊勒索。”

當受害者啟用嵌入在釣魚郵件附帶的Excel電子表格中的宏時，攻擊鏈就開始了。

宏下載并執行FRIENDSPEAK代碼，該代碼又下載MIXLABEL惡意軟件。

專家還報告說，威脅行動者修改了用作誘餌的Office文檔中的宏，并增加了地理信息防御技術。

Mandiant研究人員強調了TA505網絡犯罪團伙（又名 Evil Corp）開展的一項重要工作，該組織自2014年以來一直活躍在零售和銀行業領域。

TA505還在其惡意軟件活動中部署了Clop勒索軟件，并且最近開始利用ZeroLogon關鍵漏洞來破壞目標組織。

“由于參與者使用犯罪服務提供者，因此歷史性TA505活動和最近的FIN11活動的歸因都變得很復雜。像大多數出于經濟動機的參與者一樣，FIN11并不是在真空中運作。我們相信，該小組已經使用了提供匿名域注冊，防彈托管，代碼簽名證書以及私有或半私有惡意軟件的服務。” 讀取分析。“將這些工作外包給這些犯罪服務提供商可能使FIN11擴大其業務規模和復雜程度。”

專家指出，丟棄了Clop勒索軟件之后的FIN11參與者在失去訪問權限后并沒有放棄目標，至少在一種情況下，幾個月后他們再次破壞了目標組織。

研究人員認為，FIN11在獨立國家聯合體（獨聯體–前蘇聯國家）運營。

專家觀察到惡意軟件代碼中的俄語文件元數據，并報告說Clop勒索軟件僅部署在獨聯體國家以外使用鍵盤布局的計算機上。

Mandiant研究人員推測FIN11將繼續針對擁有敏感專有數據的組織，這些組織很可能會支付贖金以在攻擊后恢復其運營。