FIN11 部署 CLOP 勒索软件，敲诈受害者支付赎金

出于财务动机的黑客组织FIN11已经开始传播勒索软件，以将其网络犯罪活动货币化。

该集团针对全球范围内的公司开展了多项大批量业务，其中大多数在北美和欧洲。

在最近的攻击中，观察到该组织将Clop勒索软件部署到其受害者的网络中。

自8月以来，FIN11开始针对许多行业的组织，包括国防，能源，金融，医疗保健，法律，制药，电信，技术和运输。

FireEye的Mandiant的研究人员观察到FIN11黑客使用鱼叉式网络钓鱼消息分发了名为FRIENDSPEAK的恶意软件下载器。

“最近，FIN11部署了CLOP勒索软件，威胁要公布被窃取的数据，迫使受害者支付赎金。FireEye发表的分析中写道。“该集团转变盈利方式——从2018年的POS机恶意软件，到2019年的勒索软件，再到2020年的混合勒索——是一个更大趋势的一部分，犯罪分子越来越关注折衷后勒索软件的部署和数据盗窃勒索。”

当受害者启用嵌入在钓鱼邮件附带的Excel电子表格中的宏时，攻击链就开始了。

宏下载并执行FRIENDSPEAK代码，该代码又下载MIXLABEL恶意软件。

专家还报告说，威胁行动者修改了用作诱饵的Office文档中的宏，并增加了地理信息防御技术。

Mandiant研究人员强调了TA505网络犯罪团伙（又名 Evil Corp）开展的一项重要工作，该组织自2014年以来一直活跃在零售和银行业领域。

TA505还在其恶意软件活动中部署了Clop勒索软件，并且最近开始利用ZeroLogon关键漏洞来破坏目标组织。

“由于参与者使用犯罪服务提供者，因此历史性TA505活动和最近的FIN11活动的归因都变得很复杂。像大多数出于经济动机的参与者一样，FIN11并不是在真空中运作。我们相信，该小组已经使用了提供匿名域注册，防弹托管，代码签名证书以及私有或半私有恶意软件的服务。” 读取分析。“将这些工作外包给这些犯罪服务提供商可能使FIN11扩大其业务规模和复杂程度。”

专家指出，丢弃了Clop勒索软件之后的FIN11参与者在失去访问权限后并没有放弃目标，至少在一种情况下，几个月后他们再次破坏了目标组织。

研究人员认为，FIN11在独立国家联合体（独联体–前苏联国家）运营。

专家观察到恶意软件代码中的俄语文件元数据，并报告说Clop勒索软件仅部署在独联体国家以外使用键盘布局的计算机上。

Mandiant研究人员推测FIN11将继续针对拥有敏感专有数据的组织，这些组织很可能会支付赎金以在攻击后恢复其运营。