FireEye ha presentato un nuovo gruppo di minaccia motivato finanziariamente denominato FIN11.

FIN11 ha condotto alcune delle campagne di distribuzione di malware più importanti e più lunghe che Mandiant abbia mai rilevato tra i gruppi FIN fino ad oggi, e le sue operazioni hanno riguardato un’ampia varietà di settori e regioni geografiche.

Il gruppo si è recentemente concentrato sul ransomware e sull’estorsione, dato che le operazioni di ransomware intrusivo sono diventate molto popolari tra i cyber-criminali.

Tra le informazioni chiave rese note dai ricercatori Mandiant nel report prodotto, si segnalano le seguenti:

  • FIN11 è un gruppo di minaccia, motivato dal punto di vista finanziario, che Mandiant Threat Intelligence ritiene, con moderata fiducia, stia operando fuori dalla nazione del Commonwealth Independent States (CIS);

  • FIN11 ha avuto un impatto sulle organizzazioni in vari settori e regioni, a livello globale. Ad esempio, in una sola settimana, Mandiant ha osservato campagne rivolte all’industria farmaceutica, alle aziende di spedizione e logistica, alle organizzazioni in Nord America e in Europa e a persone fisiche di lingua tedesca e italiana. Oltre alle aziende, FIN11 si è rivolta anche a enti come istituzioni accademiche, agenzie governative e servizi pubblici;
  • Attivo almeno dal 2016, FIN11 ha utilizzato diffuse campagne di phishing per distribuire malware. Quando è attivo, FIN11 conduce generalmente un grande numero di campagne di phishing alla settimana, ognuna con migliaia di email, e circa ogni mese ne modifica le tattiche di consegna;

  • Ultimamente, il gruppo utilizza l’estorsione ibrida per monetizzare le proprie operazioni. Essi utilizzano il ransomware CLOP e minacciano di rilasciare dati esfiltrati per fare pressione sulle loro vittime affinché paghino le richieste di estorsione. Queste richieste variano da poche centinaia di migliaia di dollari fino a 10 milioni di dollari.