قراصنة FIN11 يبتكرون هجمات رانسومواري جديدة
وفقًا لفريق Fireeye Mandiant Threat Intelligence ، شاركت الجماعية-المعروفة باسم FIN11-في نمط من حملات الجريمة الإلكترونية على الأقل منذ عام 2016 والتي تنطوي على تسييل وصولها إلى شبكات المنظمات ، بالإضافة إلى نشر برامج ضار من نقاط البيع (POS) التي تستهدف الماليات المالية ، وتجارة التجزئة ، والمطعم ، والمساحات الصيدلانية
FIN11…طور ممثل التهديد الذي يحركه مالياً معروفًا بحملات توزيع البرامج الضارة تكتيكاته للتركيز على برامج الفدية والابتزاز.
وفقًا لفريق Fireeye Mandiant Threat Intelligence ، شاركت الجماعية-المعروفة باسم FIN11-في نمط من حملات الجريمة الإلكترونية على الأقل منذ عام 2016 والتي تنطوي على تسييل وصولها إلى شبكات المنظمات ، بالإضافة إلى نشر برامج ضار من نقاط البيع (POS) التي تستهدف الماليات المالية ، وتجارة التجزئة ، والمطعم ، والمساحات الصيدلانية.
“لقد أدت عمليات اقتحام FIN11 الأخيرة إلى سرقة البيانات والابتزاز وتعطيل شبكات الضحايا من خلال توزيع Clop Ransomware، “ماندان قال.
على الرغم من أن أنشطة FIN11 في الماضي كانت مرتبطة بالبرامج الضارة مثل Flawedammyy ، Friendspeakو mixlabel ، يلاحظ مانطال تداخل كبير في TTPs مع مجموعة تهديد أخرى يسميها باحثو الأمن السيبراني TA505، الذي يقف وراء طروادة Dridex Banking الشائنة و Locky Ransomware التي يتم تسليمها من خلال حملات Malspam عبر Necurs Botnet.
تجدر الإشارة إلى أن Microsoft قامت بتنظيم عملية إزالة البوتنيت Necurs في وقت سابق من هذا مارس في محاولة لمنع المشغلين من تسجيل مجالات جديدة لتنفيذ المزيد من الهجمات في المستقبل.
حملات Malspam ذات الحجم الكبير
قامت FIN11 ، بالإضافة إلى الاستفادة من آلية توزيع البريد الإلكتروني الخبيثة ذات الحجم الكبير ، بتوسيع استهدافها إلى سحر اللغة الأصلية إلى جانب معلومات مرسل البريد الإلكتروني التي يتم التلاعب بها ، مثل أسماء عرض البريد الإلكتروني المخادعة وعناوين مرسل البريد الإلكتروني ، لجعل الرسائل تبدو أكثر شرعية ، مع وجود قوت قوي نحو مهاجمة المنظمات الألمانية في حملاتها 2020.
على سبيل المثال ، أدى الخصم إلى حملة بريد إلكتروني مع مواضيع البريد الإلكتروني مثل “تقرير البحث N- (رقم خمسة أرقام)” و “حادث المختبر” في يناير 2020 ، تليها موجة ثانية في مارس باستخدام رسائل البريد الإلكتروني المخادعة مع خط الموضوع “(اسم الشركة الصيدلانية) 2020 YTD Billing Termet.”
“لقد تطورت حملات توزيع البريد الإلكتروني ذات الحجم الكبير في FIN11 باستمرار طوال تاريخ المجموعة” ، قال آندي مور ، كبير المحللين التقنيين في Mandiant That Intelligence ، لصحيفة Hacker News عبر البريد الإلكتروني.
“على الرغم من أننا لم نتحقق بشكل مستقل من العلاقة ، إلا أن هناك تقارير عامة كبيرة تشير إلى أنه حتى وقت ما في عام 2018 ، اعتمد FIN11 اعتمادًا كبيرًا على Botnet Necurs لتوزيع البرامج الضارة. على وجه الخصوص ، فإن وقت التوقف الملحوظ لـ Necurs Botnet يتوافق مباشرة مع النشاط في النشاط الذي نعززه إلى FIN11.”
في الواقع ، وفقًا لبحث مانديان ، يبدو أن عمليات FIN11 قد توقفت تمامًا من منتصف شهر مارس 2020 حتى أواخر مايو 2020 ، قبل التقاطها مرة أخرى في يونيو عبر رسائل البريد الإلكتروني الخادعة التي تحتوي على مرفقات HTML الخبيثة لتقديم ملفات Microsoft Office الضارة.
استفادت ملفات Office ، بدورها ، من وحدات الماكرو لإحضار Dropper Minedoor و Friendspeak Downloader ، والتي أرسلت بعد ذلك Mixlabel Backdoor على الجهاز المصاب.
تحول إلى الابتزاز الهجين
ومع ذلك ، في الأشهر الأخيرة ، أسفرت جهود تسييل FIN11 عن عدد من المنظمات المصابة بـ Clop Ransomware ، بالإضافة إلى اللجوء إلى هجمات الابتزاز الهجينة – الجمع بين فدية مع سرقة البيانات – في محاولة لإجبار الشركات على الرضا إلى مدفوعات الابتزاز التي تتراوح من بضعة بضع مائة ألف دولار إلى 10 مليون دولار.
وقال مور: “تسييل FIN11 من التدخلات عبر برامج الفدية والابتزاز يتبع اتجاهًا أوسع بين الجهات الفاعلة ذات الدوافع المالية”.
“استراتيجيات تسييل التي كانت أكثر شيوعًا تاريخياً ، مثل نشر البرامج الضارة للنقاط ، تحد المجرمين لاستهداف الضحايا في بعض الصناعات ، في حين أن توزيع البرامج الفدية يمكن أن يسمح للممثلين بالربح من التسلل إلى شبكة أي منظمة تقريبًا.
وأضاف أن هذه المرونة ، بالاقتران مع التقارير المتكررة بشكل متكرر عن مدفوعات الفدية المتزايدة ، تجعلها مخططًا جذابًا للغاية للجهات الفاعلة ذات الدوافع مالياً “.
ما هو أكثر من ذلك ، يُزعم أن FIN11 قد استفاد من مجموعة واسعة من الأدوات (على سبيل المثال ، Forkbeard ، Spoonbeard ، و MINEDOOR) التي تم شراؤها من منتديات تحت الأرض ، مما يجعل الإسناد صعبًا أو خلطًا عن طريق الخطأ لمجموعتين dispared بناءً على TTPs مماثلة أو مؤشرات للتسوية.
ممثل من أصل رابطة الدول المستقلة المحتملة
أما بالنسبة لجذور FIN11 ، فقد صرح مانديان “بالثقة المعتدلة” بأن المجموعة تعمل من الكومنولث في الدول المستقلة (CIS) بسبب وجود بيانات تعريف الملفات الروسية باللغة الروسية ، وتجنب انتشار CLOP في بلدان رابطة الدول المستقلة ، والسقوط الدراماتيكي في النشاط الذي يتزامن مع العام الروسي الجديد وعطلة عيد الميلاد الأرثوذكسي بين يناير 1-8.
وقال مور: “باستثناء نوع من الاضطراب في عملياتهم ، فمن المحتمل جدًا أن يستمر FIN11 في مهاجمة المؤسسات بهدف نشر برامج الفدية وسرقة البيانات لاستخدامها في الابتزاز”.
“نظرًا لأن المجموعة قامت بتحديث TTPs بانتظام للتهرب من عمليات الاكتشاف وزيادة فعالية حملاتها ، فمن المحتمل أيضًا أن تستمر هذه التغييرات الإضافية. على الرغم من هذه التغييرات ، ومع ذلك ، فإن حملات Fin11 الأخيرة اعتمدت باستمرار على استخدام وحدات الماكرو المضمنة في مستندات مكتبية ضارة لتسليم حمولةها.”
“إلى جانب أفضل الممارسات الأمنية الأخرى ، يمكن للمؤسسات تقليل مخاطر التعرض للخطر من قبل FIN11 من قبل المستخدمين الذين تدربوا على تحديد رسائل البريد الإلكتروني المخادعة ، وتعطيل وحدات الماكرو المكتبية ، وتنفيذ عمليات تنزيل Friendpeak.”
