Grupo de crimes cibernéticos FIN11 está perseguindo empresas farmacêuticas para extorsão

E só está piorando: os hackers expandiram sua gama de alvos nos últimos dois anos usando ataques de ransomware cada vez mais agressivos, de acordo com uma pesquisa publicada na terça-feira pela unidade de inteligência de ameaças da FireEye, Mandiant.

A empresa apelidou o grupo FIN11, designação que dá aos grupos de crimes financeiros. Isso o torna o primeiro grupo a obter o rótulo FIN desde FIN10, três anos atrás.

Os hackers são notáveis ​​por “remover os últimos vestígios de restrição” em seu ransomware e alvos de extorsão, disse John Hultquist, diretor sênior de análise da Mandiant Threat Intelligence, uma unidade da FireEye. Eles foram atrás de empresas farmacêuticas e outros alvos de saúde durante a pandemia COVID-19.

De forma mais ampla, a indústria de saúde encontrou uma enxurrada de ataques de hackers durante a pandemia, incluindo ataques de ransomware que as autoridades dizem ter atingido hospitais e conglomerados de saúde  e tentativas de hackear empresas que trabalham em uma vacina COVID-19 . E entre os grupos FIN identificados até o momento, FIN7  – acusado de supostamente roubar US $ 1 bilhão de vítimas americanas – pode ser o mais notório.

FIN11 não começou como uma operação de ransomware, disseram os pesquisadores. Mas, à medida que a prática se tornou mais lucrativa, o FIN11 adotou a técnica de extorsão digital, exigindo resgates de até US $ 10 milhões após bloquear os sistemas das vítimas e ameaçando liberar dados, a menos que paguem.

“Eles estão claramente desanimados e dispostos a não apenas pegar todo esse dinheiro e interromper suas operações, mas também constrangê-los e extorquir publicamente”, disse Hultquist.

De 2017 a 2018, o FIN11 visou principalmente os setores financeiro, de varejo e de restaurantes. Em 2019 e 2020, ele se tornou menos exigente e mais prolífico, principalmente usando iscas de e-mail genéricas, como “extrato bancário” ou “fatura” para enganar os alvos, mas às vezes adaptando suas iscas por região e idioma. Mandiant observou ataques bem-sucedidos na América do Norte, Europa e em outros lugares.

Mandiant tem uma confiança “moderada” de que o grupo está baseado na Comunidade de Estados Independentes de língua russa, mas não poderia restringi-la a uma nação específica, disse Hultquist.

Embora FIN11 esteja ativo desde 2016, suas táticas e técnicas se sobrepõem ao grupo conhecido como TA505, que existe desde pelo menos 2014. No entanto, “não atribuímos as operações iniciais do TA505 ao FIN11 e advertimos contra a fusão dos dois clusters”, Mandiant disse em seu relatório completo sobre FIN11.

Fonte: https://www.cyberscoop.com/fin11-ransomware-pharma-fireeye-cybercrime/