skip to Main Content

Cybercrime: FIN11, dai malware per i POS, passa al ransomware

di Pierguido Iezzi

FIN11, gruppo del cybercrime noto per le campagne di phishing tese a diffondere malware POS, vira in direzione del ransomware e in particolare su CLOP

Fin11, un Gruppo di Criminal Hacker già noto per le sue campagne di Phishing per diffondere malware POS ha virato decisamente in direzione ransomware. Altro sintomo di come questo strumento si stia affermando come la punta di diamante del cybercrime – in termini di efficacia e soprattutto di rendita. FIN11 è attivo almeno a partire dal 2016, con attività che spaziavano dalla vendita di accessi a network violati, passando per il furto dei dati, fino – come detto – alla distribuzione di malware per dispositivi POS – in contesti come la grande distribuzione e il farmaceutico -. Ora, secondo gli esperti di cybersecurity di FireEye, alle loro attività si è aggiunta quella di lanciare attacchi ransomware e il prescelto è stato CLOP. Il modus operandi è stato anche accostato per le notevoli similitudini a quello di un altro gruppo di threat actors – TA505 – che si appoggiava in maniera massiccia alla Botnet Necurs (oltre ad essere uno degli autori del banking trojan Dreidex e del Ransomware Locky).

Chi è questo gruppo di Criminal Hackers e cosa è in grado di fare

La notizia non dovrebbe essere delle più rassicuranti, FIN11 è una delle formazioni del cybercrime più “skillate” nel campo delle campagne di Phishing. Oltre all’enorme volume di email che è in grado di “lanciare”, il gruppo ha fatto evolvere le proprie tecniche espandendo il vocabolario di lingue adottate per corrispondere a quello del target e non limitandosi alla classica mail in inglese “scolastico”.  Come se non bastasse, a ciò ha aggiunto la possibilità di imitare il nome del mittente così come l’indirizzo utilizzato per la mail di phishing – il tutto per far apparire i messaggi più legittimi. Nel 2020, per esempio, i Criminal Hacker si sono concentrati molto nel prendere di mira l’Europa e in particolare la Germania. Come accennato, FIN11 è stato più volte accostato alla botnet Necurs, con i suoi periodi di inattività strettamente legati al down time della botnet stessa.

FIN11 è scomparso tra marzo e maggio, nel periodo in cui gli esperti di cybersecurity di Microsoft hanno smantellato la botnet Necurs. Poi, è tornato a giugno puntando su CLOP

A conferma di ciò la sostanziale scomparsa del gruppo tra il marzo e il maggio di quest’anno – il periodo in cui Necurs era stata efficacemente smantellata dall’azione degli esperti di cybersecurity di Microsoft. A partire da giugno, però, FIN11 si è rifatto vivo, anche se in maniera meno attiva, forse proprio perché privo dell’appoggio della botnet citata. Negli ultimi mesi, forse proprio a causa della minore efficacia del sistema di supporto di Necurs la formazione del cybercrime ha decisamente virato in direzione Ransomware, in grado di garantire maggiori guadagni con volumi decisamente più bassi d’infezione. Facendo leva sullo strain CLOP, ha immediatamente adottato un approccio di doppia estorsione, combinando l’azione già devastante del Ransomware a quella dell’esfiltrazione di dati progressiva e alla minaccia di pubblicarli in chiaro (una tecnica debuttata da Maze e che adesso sta veramente diventando Mainstream).

I ransomware sono molto più paganti dei malware nei POS

Sfortunatamente questo pivot nel modus operandi di FIN11 segue un trend generale di de-specializzazione dei Criminal Hacker (ma decisamente non un abbassamento di Skill). Azioni come la diffusione di malware nei POS, infatti, limitavano decisamente il numero di target a disposizione dei Criminal hacker, mentre gli attacchi ransomware permettono di trarre profitto da azioni praticamente verso ogni target che ha a disposizione una rete. Questa flessibilità, combinata con il prezzo sempre più “salato” che un’infezione di questo tipo richiede di pagare alle vittime, rappresenta un’opportuna molto attraente anche per quei gruppi, come FIN11, che non sono nati come classici “operatori ransomware”. In aggiunta all’adozione di CLOP, FIN11 ha apparentemente adottato un’altra serie di tool di Criminal Hacking come SPOONBEAR, MINEDOOR e FORKBEARD.

Diversi indizi portano a pensare che i cyber criminali siano russi

FIN11, secondo FireEye, è probabilmente un gruppo che ha sede in Russia. La presenza di metadati in cirillico nei file analizzati, potrebbe essere un indizio importante. Se a questo aggiungiamo che CLOP non è solitamente “dispiegato” in attacchi contro le organizzazioni dell’area CIS e che nel periodo tra il primo e l’otto del mese di gennaio le attività si arrestano (il periodo delle festività ortodosse), non è difficile capire come tutti questi indizi costituiscano una prova schiacciante.

Come difendersi da FIN11

FIN11 potrebbe rappresentare uno dei gruppi emergenti più pericolosi nei prossimi mesi. La loro abilità già consolidata nel phishing e le loro skill nell’acquisire accesso alle reti senza essere rilevati – ora al servizio del ransomware – non promettono nulla di buono…Per questo motivo l’azione di prevenzione della minaccia FIN11 deve essere doppia. Agendo sul fattore umano, per contrastare il phishing, con corsi di Awerness e training come il Phishing Simulation attack. E agendo in campo tecnologico, rendendo più resiliente il perimetro della nostra organizzazione attraverso attività periodiche e regolari di Network Scan, Penetration testing e Vulnerability assessment. Oltre a questo non va assolutamente dimenticata la componente di Threat Intelligence: scandagliare la Rete, il dark e deep web in cerca di ogni segnale o informazione utile a fornire un’actionable intelligence per agire in maniera preventiva in risposta a qualsiasi minaccia futura o “in potenza”.

Non Abbassiamo la guardia!

Back To Top