Mandiant Threat Intelligence hat kürzlich Details über die neu benannte Hackergruppe FIN11 veröffentlicht. Diese ist spezialisiert auf Ransomware und Erpressung und hat in den vergangenen Monaten vermehrt deutsche und deutschsprachige Unternehmen ins Visier genommen. Die Hacker operieren vermutlich aus der Gemeinschaft Unabhängiger Staaten (GUS) heraus.
Nachfolgend ein Kommentar von Genevieve Stark, Analyst bei Mandiant Threat Intelligence:
„In den letzten Jahren gab es einen drastischen Anstieg von aggressiven Ransomware-Angriffen auf Unternehmen; Mandiant reagierte 2019 auf fast 300 Prozent mehr Ransomware-Attacken als noch im Jahr zuvor. Die Hackergruppe FIN11 steht beispielhaft für diesen Trend, bei dem Cyberkriminelle eher Ransomware einsetzen, um ihre Aktivitäten zu Geld zu machen, statt beispielsweise Malware am Point-of-Sale einzusetzen, um Kreditkartendetails abzugreifen.
FIN11 betreibt ein hybrides Erpressungsmodell: Sie stehlen Daten der Opfer, verbreiten CLOP-Ransomware und drohen dann mit der Veröffentlichung der erbeuteten Daten im Internet, um ihre Opfer zur Zahlung von Lösegeld zu zwingen. Diese Forderungen reichen von einigen hunderttausend US-Dollar bis zu 10 Millionen US-Dollar. Dabei fällt die Gruppe durch ein besonders unverfrorenes Vorgehen auf: Anfang 2020 nahm sie vermehrt Pharmaunternehmen ins Visier, als diese durch die Corona-Pandemie besonders verwundbar waren.
Die auf der CL0P^_-LEAKS Website im Darknet aufgeführten mutmaßlichen Opfer sind meist in Europa ansässig: Etwa die Hälfte der betroffenen Unternehmen haben ihren Sitz in Deutschland. Diese sind in einer Vielzahl von Branchen tätig, darunter Automobil, verarbeitende Industrie, Technologie, Textil – auch Versorgungsunternehmen waren unter den mutmaßlichen deutschen Opfern.
Während die CL0P^_-LEAKS Website ein unvollständiges Bild der Zielpersonen von FIN11 vermittelt – dort sind Unternehmen aufgeführt, die angegriffen wurden und sich weigerten, Lösegeld zu bezahlen –, deuten auch die deutschsprachigen E-Mails, die FIN11 in vielen Phishing-Kampagnen 2020 verwendet hat, darauf hin, dass sie aktiv Firmen ins Visier genommen haben, die im deutschsprachigen Raum tätig sind.
Während diese Kampagnen in erster Linie wohl auf deutsche Unternehmen abzielten, nahmen sie oft auch Firmen in anderen Ländern – in Österreich beispielsweise – ins Visier. Darüber hinaus haben wir Fälle beobachtet, in denen sowohl ein deutsches Unternehmen als auch seine Tochtergesellschaften in anderen Ländern konsequent angegriffen wurden.“
Beispiele für deutschsprachige Betreffzeilen, die FIN11 für Phishing-E-Mails von Juni bis September verwendet hat:
- Tagesprotokoll 20.01.2020
- Krankmeldung
- Angebot
- Unfallbericht
- Neues Dokument
- Bestellung 14-3863-524-006June 3: 1&1 Rechnungsstelle
- Bestellung 19/2002-021