ADS

FIN11 Hacker Terlihat Menggunakan Teknik Baru Dalam Serangan Ransomware

FIN11 Hacker Terlihat Menggunakan Teknik Baru Dalam Serangan Ransomware




Aktor ancaman bermotivasi finansial yang terkenal dengan kampanye distribusi malware telah mengembangkan taktiknya untuk fokus pada ransomware dan pemerasan.


Menurut tim intelijen ancaman Mandiant FireEye, kolektif - yang dikenal sebagai FIN11 - telah terlibat dalam pola kampanye kejahatan dunia maya setidaknya sejak 2016 yang melibatkan memonetisasi akses mereka ke jaringan organisasi, selain menyebarkan malware point-of-sale (POS). menargetkan sektor keuangan, ritel, restoran, dan farmasi.


"Gangguan FIN11 baru-baru ini paling sering menyebabkan pencurian data, pemerasan, dan gangguan jaringan korban melalui distribusi ransomware CLOP," kata Mandiant.


Meskipun aktivitas FIN11 di masa lalu telah dikaitkan dengan malware seperti FlawedAmmyy, FRIENDSPEAK, dan MIXLABEL, Mandiant mencatat adanya tumpang tindih yang signifikan dalam TTP dengan grup ancaman lain yang oleh peneliti keamanan siber disebut TA505, yang berada di belakang Trojan perbankan Dridex dan ransomware Locky yang terkenal yang dikirimkan melalui kampanye malspam melalui botnet Necurs.

Perlu diperhatikan bahwa Microsoft mengatur penghapusan botnet Necurs awal Maret ini dalam upaya untuk mencegah operator mendaftarkan domain baru untuk melakukan serangan lebih lanjut di masa depan.


High-Volume Malspam Campaigns

FIN11, selain memanfaatkan mekanisme distribusi email berbahaya bervolume tinggi, telah memperluas penargetannya ke umpan bahasa asli ditambah dengan informasi pengirim email yang dimanipulasi, seperti nama tampilan email palsu dan alamat pengirim email, untuk membuat pesan tampak lebih sah, dengan kecenderungan kuat untuk menyerang organisasi Jerman dalam kampanye 2020 mereka.


Misalnya, musuh memicu kampanye email dengan subjek email seperti "laporan penelitian N- [angka lima digit]" dan "kecelakaan laboratorium" pada Januari 2020, diikuti gelombang kedua pada bulan Maret menggunakan email phishing dengan baris subjek " [nama perusahaan farmasi] Spreadsheet penagihan YTD 2020 ".

"Kampanye distribusi email volume tinggi FIN11 terus berkembang sepanjang sejarah grup," Andy Moore, analis teknis senior di Mandiant Threat Intelligence, mengatakan kepada The Hacker News melalui email.

"Meskipun kami belum memverifikasi koneksi secara independen, ada laporan publik substansial yang menunjukkan bahwa hingga sekitar tahun 2018, FIN11 sangat bergantung pada botnet Necurs untuk distribusi malware. Khususnya, waktu henti yang diamati dari botnet Necurs secara langsung berhubungan dengan jeda dalam aktivitas. kami menghubungkannya dengan FIN11. "

Memang, sesuai penelitian Mandiant, operasi FIN11 tampaknya telah berhenti sepenuhnya dari pertengahan Maret 2020 hingga akhir Mei 2020, sebelum mengambil kembali pada bulan Juni melalui email phishing yang berisi lampiran HTML berbahaya untuk mengirimkan file Microsoft Office yang berbahaya.

File Office, pada gilirannya, menggunakan makro untuk mengambil penetes MINEDOOR dan pengunduh FRIENDSPEAK, yang kemudian mengirimkan pintu belakang MIXLABEL pada perangkat yang terinfeksi.


A Shift to Hybrid Extortion

Namun, dalam beberapa bulan terakhir, upaya monetisasi FIN11 telah mengakibatkan sejumlah organisasi yang terinfeksi oleh ransomware CLOP, selain menggunakan serangan pemerasan hybrid - menggabungkan ransomware dengan pencurian data - dalam upaya untuk memaksa bisnis agar menyetujui hingga pembayaran pemerasan yang berkisar dari beberapa ratus ribu dolar hingga 10 juta dolar.

"Monetisasi FIN11 dari gangguan melalui ransomware dan pemerasan mengikuti tren yang lebih luas di antara para aktor yang bermotivasi finansial," kata Moore.

"Strategi monetisasi yang lebih umum secara historis, seperti penyebaran malware point-of-sale, membatasi penjahat untuk menargetkan korban di industri tertentu, sedangkan distribusi ransomware dapat memungkinkan aktor untuk mendapatkan keuntungan dari gangguan ke jaringan hampir semua organisasi.

Fleksibilitas itu, ditambah dengan laporan pembayaran tebusan yang semakin sering membengkak, menjadikannya skema yang sangat menarik bagi para pelaku yang bermotivasi finansial, "tambahnya.

Terlebih lagi, FIN11 konon telah memanfaatkan berbagai macam alat (misalnya, FORKBEARD, SPOONBEARD, dan MINEDOOR) yang dibeli dari forum bawah tanah, sehingga membuat atribusi menjadi sulit atau secara tidak sengaja menggabungkan aktivitas dari dua kelompok yang berbeda berdasarkan TTP atau indikator serupa. kompromi.


An Actor of Likely CIS Origin

Mengenai akar dari FIN11, Mandiant menyatakan dengan "keyakinan moderat" bahwa grup tersebut beroperasi dari Commonwealth of Independent States (CIS) karena adanya metadata file berbahasa Rusia, menghindari penyebaran CLOP di negara-negara CIS, dan jatuh dalam aktivitas bertepatan dengan Tahun Baru Rusia dan periode liburan Natal Ortodoks antara 1-8 Januari.


"Kecuali ada gangguan pada operasi mereka, sangat mungkin FIN11 akan terus menyerang organisasi dengan tujuan untuk menyebarkan ransomware dan mencuri data untuk digunakan untuk pemerasan," kata Moore.


"Karena grup telah secara teratur memperbarui TTP mereka untuk menghindari deteksi dan meningkatkan efektivitas kampanye mereka, kemungkinan perubahan tambahan ini juga akan terus berlanjut. Meskipun ada perubahan ini, kampanye FIN11 baru-baru ini secara konsisten mengandalkan penggunaan makro yang disematkan di dokumen Office berbahaya untuk mengirimkan muatannya. "


"Bersama dengan praktik terbaik keamanan lainnya, organisasi dapat meminimalkan risiko disusupi oleh FIN11 dengan melatih pengguna untuk mengidentifikasi email phishing, menonaktifkan makro Office, dan menerapkan deteksi untuk pengunduh FRIENDSPEAK."


Source : https://thehackernews.com/2020/10/fin11-hackers-spotted-using-new.html


Keyoword Search 

Malware

Hacker

Hacking

Ransomware

Botnet 

Hacker News 

FIN11 Hacker Terlihat Menggunakan Teknik Baru Dalam Serangan Ransomware FIN11 Hacker Terlihat Menggunakan Teknik Baru Dalam Serangan Ransomware Reviewed by Bayu_Ajie on Oktober 17, 2020 Rating: 5

Tidak ada komentar:

ADS

Diberdayakan oleh Blogger.