Grupo de delitos financieros FIN11 gira hacia el ransomware y la extorsión de datos robados

Extorsionar a empresas y organizaciones a través de la utilización de ransomware sofisticado se ha convertido en un modelo de negocio altamente rentable para los ciberdelincuentes. Esto ha llevado a FIN11, un actor de amenazas que tradicionalmente estaba involucrado en delitos financieros y robo de tarjetas de pago, a un cambio en el desarrollo de sus tácticas para centrarse en el ransomware y la extorsión.

Según el equipo de inteligencia de amenazas Mandiant de FireEye, "Las recientes intrusiones de FIN11 han provocado con mayor frecuencia el robo de datos, la extorsión y la interrupción de las redes de las víctimas a través de la distribución del ransomware CLOP "

¿Quiénes son FIN11?

FIN11, un grupo de amenazas con motivación financiera, ha estado activo desde al menos 2016 y es probable que sus miembros se encuentren en países de habla rusa. Ha llevado a cabo algunas de las campañas de distribución de malware más grandes y de mayor duración que los investigadores de Mandiant han observado entre los actores de amenazas con estas características hasta la fecha. Además de las campañas de correo electrónico malicioso de alto volumen, FIN11 también es notable debido a sus tácticas y técnicas de entrega de malware en constante evolución. 

El conjunto de herramientas y técnicas de FIN11 se superponen con los de otros grupos de delitos informáticos porque utiliza regularmente programas de malware y otros servicios que se venden en mercados clandestinos. Dicho esto, se cree que algunos descargadores de malware y puertas traseras son exclusivos de FIN11, incluidos los rastreados en la industria como:

• FlawedAmmyy
• FRIENDSPEAK (Get2)
• MIXLABEL.

Hay similitudes notables entre algunas de las actividades de FIN11 y las de un grupo que la industria llama TA505, que está asociado con la botnet Dridex y el ransomware Locky, pero Mandiant advierte contra la combinación de los dos grupos porque también hay diferencias significativas en sus técnicas.

Las campañas de correo electrónico de gran volumen de FIN11 utilizan señuelos genéricos como pedidos de venta falsos, extractos bancarios y facturas, pero algunos también se han adaptado a países o industrias específicas. Mandiant observó correos electrónicos de phishing FIN11 escritos en inglés, español, coreano y alemán.

En los últimos ataques FIN11, los correos electrónicos maliciosos tenían un archivo adjunto HTML que redirigía a las víctimas a dominios comprometidos.

A partir de 2019, los investigadores han notado cambios significativos en las campañas de distribución de malware de FIN11 y los señuelos de phishing, lo que indica una orientación más indiscriminada de organizaciones en múltiples sectores de la industria. Esto coincidió con la transición del grupo a un modelo de monetización basado en un programa de ransomware denominado CLOP.

Clop ransomware

Clop es un ransomware que utiliza la extensión ".clop" después de haber cifrado los archivos de la víctima. Otra característica única que pertenece a Clop está en la cadena: "Dont Worry C|0P" incluido en las notas de rescate. Es una variante del ransomware CryptoMix, pero además intenta deshabilitar Windows Defender y eliminar Microsoft Security Essentials para evitar la detección de espacio de usuario.

A partir de este año, FIN11 también adoptó la táctica de robar datos y amenazar con liberarlos para obligar a las víctimas de ransomware a pagar. El grupo ha creado un sitio web oscuro donde han publicado datos parciales de empresas que se negaron a pagar.

Panorama

Dada la reciente incorporación del grupo al robo de datos y la extorsión en sus operaciones de ransomware, los actores asociados también pueden optar por priorizar a las víctimas que probablemente tengan datos confidenciales o patentados, como bufetes de abogados o empresas de investigación y desarrollo. Este patrón de explotación selectiva podría eventualmente llevar a los actores de FIN11 a buscar asociaciones adicionales con otros miembros de la comunidad de ciberdelincuentes que tengan los recursos para monetizar los accesos que obtiene FIN11.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.