Grupo de hackers está utilizando nuevas técnicas en ataques de ransomware
Un grupo de hackers con motivaciones económicas conocido por sus campañas de distribución de malware ha desarrollado nuevas tácticas. Las nuevas tácticas son para centrarse en el ransomware y la extorsión.
Según el equipo de inteligencia de amenazas Mandiant de FireEye, el colectivo, conocido como FIN11 no es nuevo en la palestra. El grupo se ha visto involucrado en un patrón de campañas de ciberdelincuencia al menos desde 2016. Sus acciones implicavan monetizar su acceso a las redes de las organizaciones, además de implementar malware en el punto de venta (POS). Todo esto dirigido a los sectores financiero, minorista, restaurante y farmacéutico.
“Las recientes intrusiones de FIN11 han provocado con mayor frecuencia el robo de datos, la extorsión y la interrupción. Han realizado estas acciones de las redes de las víctimas a través de la distribución del ransomware CLOP”, dijo Mandiant.
Aunque las actividades de FIN11 en el pasado se han relacionado con malware como FlawedAmmyy, FRIENDSPEAK y MIXLABEL, están yendo más allá. Mandiant observa una superposición significativa en los TTP con otro grupo de amenazas que los investigadores de ciberseguridad llaman TA505. Este grupo está detrás del perverso troyano bancario Dridex y el ransomware Locky que envían a través de campañas de malspam. Esto a través de la botnet Necurs.
Vale la pena señalar que Microsoft orquestó la eliminación de la botnet Necurs a principios de marzo. Fue en un intento de evitar que los operadores registren nuevos dominios para ejecutar más ataques en el futuro.
Campañas de spam de alto volumen
FIN11, además de aprovechar un mecanismo de distribución de correo electrónico malicioso de alto volumen, ha ampliado su orientación a los señuelos del idioma nativo. Esto junto con la información del remitente del correo electrónico manipulada, como los nombres para mostrar y las direcciones del remitente del correo electrónico falsificados. Con esto los mensajes parecen más legítimos, con una fuerte inclinación a atacar a las organizaciones alemanas en sus campañas de 2020.
Por ejemplo, desencadenaron una campaña de correo electrónico con asuntos de correo electrónico como “informe de investigación N-[número de cinco dígitos]” y “accidente de laboratorio” en enero de 2020. Esto seguido de una segunda ola en marzo. Ahí utilizaron correos electrónicos de phishing con el asunto “[nombre de la empresa farmacéutica] Hoja de cálculo de facturación 2020 YTD”.
“Las campañas de distribución de correo electrónico de alto volumen de FIN11 han evolucionado continuamente a lo largo de la historia del grupo”, dijo Moore. Andy Moore es analista técnico senior de Mandiant Threat Intelligence.
“No hemos verificado de forma independiente la conexión. No obstante, hay informes públicos sustanciales que sugieren que, hasta algún momento de 2018, FIN11 dependía en gran medida de la botnet Necurs. La usaban para la distribución de malware. En particular, el tiempo de inactividad observado en la botnet Necurs se ha correspondido directamente con pausas en la actividad atribuida a FIN11 “.
Operaciones del grupo
De hecho, según la investigación de Mandiant, las operaciones de FIN11 parecen haber cesado por completo desde mediados de marzo de 2020. Estuvieron en pausa hasta finales de mayo de 2020, antes de recuperarse en junio a través de correos electrónicos de phishing. Estos correos contienen archivos adjuntos HTML maliciosos para enviar archivos maliciosos de Microsoft Office.
Los archivos de Office, a su vez, utilizaron macros para recuperar el dropper MINEDOOR y el descargador FRIENDSPEAK. Este luego enviaba la puerta trasera MIXLABEL al dispositivo infectado.
Un cambio a la extorsión híbrida
Sin embargo, en los últimos meses, los esfuerzos de monetización de FIN11 han resultado en una serie de organizaciones infectadas por el ransomware CLOP. Además, de recurrir a ataques de extorsión híbridos, que combinan el ransomware con el robo de datos. Esto en un intento por obligar a las empresas a aceptar pagos de extorsión. Los pagos van desde unos cientos de miles de dólares hasta 10 millones de dólares.
“La monetización de las intrusiones por parte de FIN11 a través de ransomware y extorsión sigue una tendencia más amplia entre los actores motivados financieramente”. .
Afirmaciones de Moore
“Las estrategias de monetización que han sido más comunes históricamente limitan a los hackers. Por ejemplo, la implementación de malware en el punto de venta, limitan a los delincuentes a atacar a las víctimas en ciertas industrias. Mientras que la distribución de ransomware puede permitir que los actores se beneficien de una intrusión en la red de casi cualquier organización.
Esa flexibilidad, en combinación con informes frecuentes de pagos de rescates elevados, lo convierte en un esquema extremadamente atractivo para los actores motivados financieramente”.
Es más, se supone que FIN11 ha hecho uso de una amplia variedad de herramientas (por ejemplo, FORKBEARD, SPOONBEARD y MINEDOOR). Estas herramientas las compraron en foros clandestinos, lo que dificulta la atribución. También combina accidentalmente las actividades de dos grupos dispares basados en TTP o indicadores de compromiso.
Un grupo probablemente con origen en el CEI
En cuanto a las raíces de FIN11, Mandiant afirmó con “confianza moderada” que el grupo opera desde la Comunidad de Estados Independientes (CEI). Esto debido a la presencia de metadatos de archivos en ruso y el no despliegue de CLOP en países de la CEI. Asimismo, la dramática caída en actividad coincidieron con el año nuevo ruso y el período de vacaciones de Navidad ortodoxa. Esto entre el 1 y el 8 de enero.
“Salvo algún tipo de interrupción en sus operaciones, es muy probable que FIN11 continúe atacando a las organizaciones. El objetivo es implementar ransomware y robar datos para utilizarlos en la extorsión”, dijo Moore.
“Dado que el grupo ha actualizado periódicamente sus TTP para evadir las detecciones y aumentar la eficacia de sus campañas, también es probable que estos cambios incrementales continúen. Sin embargo, a pesar de estos cambios, las campañas FIN11 recientes se han basado constantemente en el uso de macros. Macros integrados en documentos de Office maliciosos para entregar sus payloads”.
“Junto con otras mejores prácticas de seguridad, las organizaciones pueden minimizar el riesgo de verse comprometidas por FIN11. Deben capacitar a los usuarios para identificar correos electrónicos de phishing, deshabilitar las macros de Office e implementar detecciones para el descargador FRIENDSPEAK”.