FIN11是一個有經濟動機的黑客組織，其歷史至少從2016年開始，它已經調整了惡意電子郵件活動，將其轉變為勒索軟件作為主要的盈利方式。

該集團運營著大量業務，最近主要針對北美和歐洲幾乎所有行業部門的公司竊取數據和部署Clop勒索軟件。

[[346454]]

黑客早期的惡意活動主要集中在金融、零售和餐飲業的組織上。在過去的幾年里，FIN11的攻擊在受害者類型和地理位置上都更加不分青紅皂白。

從8月開始，網絡犯罪分子攻擊了國防、能源、金融、醫療/制藥、法律、電信、技術和運輸部門的組織。

FireEye公司Mandiant的安全研究人員告訴BleepingComputer，FIN11的目標是向受害者發送惡意電子郵件，并分發他們跟蹤的惡意軟件下載程序FRIENDSPEAK。

他們使用各種誘餌，如匯款文件、發票遞送或公司獎金的機密信息以及惡意的HTML附件，從一個可能是被破壞的網站加載內容(iframe或嵌入標簽)，這些內容通常帶有日期，表示放棄。

Mandiant威脅情報公司(Mandiant Threat Intelligence)的高級分析經理金伯利·古迪(Kimberly Goody)告訴我們，受害者必須先完成驗證碼挑戰，然后才能收到帶有惡意宏代碼的Excel電子表格。

一旦執行，該代碼將交付FRIENDSPEAK，后者下載了另一個據信是FIN11特有的惡意軟件MIXLABEL。后者在許多情況下被配置為與模擬Microsoft Store(us Microsoft Store[[com)的命令和控制域聯系

古迪在電子郵件中說，這些策略在9月份的競選活動中非常活躍，不過這位演員修改了Office文檔中的宏，還添加了地理圍欄技術。

Mandiant今天發布了FIN11活動及其向勒索軟件過渡的概述。研究人員將該組織視為一個獨立的威脅參與者，注意到它在戰術、技術和TA505所使用的惡意軟件方面有著顯著的重疊。

TA505是另一個高調的網絡犯罪團伙，部署了Clop勒索軟件。最近，它開始利用Windows中的zeroologon關鍵缺陷來獲取組織的域控制器的管理員級權限。

區分這兩個行為體的依據是觀察到的活動，以及“在TA505上尚未公開報道的妥協后戰術、技術和程序(TTP)的不斷發展”

FIN11還使用了Faultedamyy，這是一個惡意軟件下載器，在來自TA505和沉默(一個針對世界各地銀行的黑客組織)的攻擊中都可以看到。這表明這三個組都有一個共同的惡意軟件開發人員。

盡管與TA505有很強的相似性，但將某些活動歸因于FIN11是很困難的，因為這兩個組織都使用惡意軟件和犯罪服務提供商，這在某些情況下可能會導致錯誤歸因。

Mandiant hass自2016年以來一直在跟蹤FIN11，并通過可獨立驗證的觀察活動對其進行了定義。TA505至少從2014年開始就存在，研究人員并未將其早期操作歸因于FIN11。

賺錢策略

針對FIN11扔下Clop勒索軟件的事件，Mandiant發現演員在失去訪問權限后并沒有放棄目標。

在一個案例中，幾個月后，他們通過多個電子郵件活動重新危害了公司。在另一個案例中，FIN11在公司從備份中恢復受感染的服務器后重新獲得了訪問權限。

研究人員沒有具體說明他們所調查的事件的贖金要求，但指出勒索軟件補救公司Coveware指出，贖金數額在幾十萬到一千萬美元之間。

Mandiant說，有一次他們沒有部署Clop勒索軟件，演員試圖勒索受害者，威脅說要發布或出售被盜數據。

基于CIS的參與者

根據他們的分析，研究人員對FIN11來自獨立國家聯合體(獨聯體-前蘇聯國家)有適度的信心。

支持這一評估的是俄語文件元數據，僅在獨聯體國家以外使用鍵盤布局的機器上部署Clop勒索軟件，并且在俄羅斯新年和東正教圣誕節期間活動減少。

Mandiant認為，FIN11“能夠訪問的組織網絡遠遠超過他們能夠成功盈利的數量”，并根據受害者的位置、地理位置和安全態勢來選擇是否值得利用。

由于數據盜竊和勒索現在已成為其貨幣化方法的一部分，FIN11可能會對擁有敏感專有數據的受害者表現出更大的興趣，這些數據有更高的幾率支付贖金來恢復他們的文件。