یک گروه هکری با نام FIN11 و با انگیزه مالی شروع به پخش باجافزار برای کسب درآمد از فعالیتهای جنایی سایبری خود کرده است.
منبع : مرکز مدیریت راهبردی افتا
یک گروه هکری با نام FIN11 و با انگیزه مالی شروع به پخش باجافزار برای کسب درآمد از فعالیتهای جنایی سایبری خود کرده است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، این گروه با تغییر تاکتیکهای خود به استفاده از باجافزار به عنوان روش اصلی کسب روی آورده و چندین عملیات سنگین را با هدف قرار دادن شرکتها در سراسر جهان بهویژه در آمریکای شمالی و اروپا انجام داده است.
از ماه آگوست، FIN11 با هدف قرار دادن سازمانها در بسیاری از صنایع ازجمله دفاع، انرژی، امور مالی، مراقبتهای بهداشتی، حقوقی، دارویی، ارتباطات از راه دور، فناوری و حملونقل کار خود را آغاز کرده است.
در حملات اخیر، مشاهده شده که این گروه باجافزار Clop را در شبکههای قربانیان خود مستقر میکند. محققان از FireEye’s Mandiant هکرهای FIN11 را با استفاده از پیامهای spear فیشینگ درحال توزیع یک بدافزار دانلودکننده به نام FRIENDSPEAK مشاهده کردند.
اخیراً FIN11 باجافزار CLOP را به کار گرفته و تهدید کرده است که دادههای فیلترشده را برای تحت فشار قرار دادن قربانیان برای پرداخت مطالبات باج منتشر خواهد کرد. تغییر روشهای کسب درآمد گروه - که شامل بدافزار مبدا فروش (POS) در سال ۲۰۱۸، باجافزار در ۲۰۱۹ و اخاذی ترکیبی در سال ۲۰۲۰ است - بخشی از یک روند بزرگتر است که در آن عاملان جنایی به طور فزایندهای بر استقرار باجافزار پس از ایجاد خطر، تمرکز کرده و به اخاذی سرقت اطلاعات پرداخته اند.
زنجیره حمله زمانی شروع میشود که قربانیان macro تعبیه شده در صفحه گسترده Excel را که همراه با ایمیلهای فیشینگ است، فعال کنند. ماکروها کد FRIENDSPEAK را دانلود و اجرا میکنند که به نوبه خود بدافزار MIXLABEL دانلود میشود.
کارشناسان همچنین میگویند که عامل تهدیدگر ماکروهای موجود در پوشههای office را که به عنوان طعمه استفاده میشود اصلاح کرده و همچنین تکنیکهای geofencing را اضافه میکنند.
انتساب هر دو فعالیت تاریخی TA505 و فعالیت اخیر FIN11 برای استفاده عاملان از ارائه دهندگان خدمات جنایی پیچیده است. مانند اکثر عاملان با انگیزه مالی، FIN11 در خلاء کار نمیکند. به نظر میآید که این گروه از سرویسهایی استفاده کرده است که ثبت دامنه ناشناس، میزبانی bulletproof، گواهینامههای امضای کد و بدافزار خصوصی یا نیمه خصوصی را فراهم میکند. کار برونسپاری به این ارائه دهندگان خدمات جنایی احتمالاً FIN11 را قادر می سازد تا مقیاس و پیچیدگی عملیات خود را افزایش دهد.
کارشناسان خاطرنشان کردند که عاملان FIN11 پس از شکست باجافزار Clop، هدف خود را پس از از دست دادن دسترسی کنار نگذاشتند و حداقل در یک مورد، سازمان مدنظر را دوباره پس از چند ماه به خطر انداختند.
محققان معتقدند محل فعالیت FIN11 در کشورهای مشترکالمنافع (کشورهای مستقل مشترکالمنافع - کشورهای اتحاد جماهیر شوروی سابق) است.
کارشناسان فایل metadata روسی زبان را در کد این بدافزار مشاهده کردند و گزارش دادند که باجافزار Clop فقط در دستگاههایی با keyboard layout که در خارج از کشورهای CIS استفاده میشود، مستقر شده است.
محققان Mandiant حدس میزنند FIN11 همچنان سازمانهایی را با دادههای حساس اختصاصی هدف قرار میدهد و احتمالاً پس از حملات باج را برای بازیابی عملیات خود پرداخت میکنند.