FIN11

FireEye menghubungkan serangan zero day di server FTA & kampanye pemerasan ke grup FIN11

February 23, 2021 by Winnie the Pooh

Serangan menggunakan zero-day di server Accellion FTA yang telah melanda sekitar 100 perusahaan di seluruh dunia pada Desember 2020 dan Januari 2021 telah dilakukan oleh kelompok kejahatan siber yang dikenal sebagai FIN11, kata firma keamanan siber FireEye hari ini.

Selama serangan, peretas mengeksploitasi empat kelemahan keamanan untuk menyerang server FTA, memasang kerangka web bernama DEWMODE, yang kemudian digunakan penyerang untuk mengunduh file yang disimpan pada peralatan FTA korban.

“Dari sekitar 300 total klien FTA, kurang dari 100 menjadi korban serangan itu,” kata Accellion dalam siaran pers hari ini. “Dalam grup ini, kurang dari 25 tampaknya mengalami pencurian data yang signifikan”.

Tetapi FireEye mengatakan bahwa beberapa dari 25 pelanggan ini sekarang telah menerima permintaan tebusan menyusul serangan terhadap server berbagi file FTA mereka.

Para penyerang menghubungi melalui email dan meminta pembayaran Bitcoin, atau mereka akan mempublikasikan data korban di “situs kebocoran” yang dioperasikan oleh geng ransomware Clop.

FireEye, yang telah membantu Accellion menyelidiki serangan-serangan ini, mengatakan serangan tersebut telah dikaitkan dengan dua kelompok aktivitas yang dilacak perusahaan sebagai UNC2546 (eksploitasi zero-day pada perangkat FTA) dan UNC2582 (email yang dikirim ke korban yang mengancam untuk mempublikasikan data tentang Tutup situs kebocoran ransomware).

Kedua grup memiliki infrastruktur yang tumpang tindih dengan FIN11, geng kejahatan siber besar yang ditemukan dan didokumentasikan FireEye tahun lalu, yang memiliki berbagai bentuk operasi kejahatan siber.

Selengkapnya: ZDNet

FIN11: Grup peretasan dipromosikan menjadi elit kejahatan siber keuangan

October 19, 2020 by Winnie the Pooh

Peneliti keamanan telah mengidentifikasi grup kejahatan siber keuangan baru yang sangat aktif.

Cakupan FIN11 sangat luas: targetnya mencakup universitas, lembaga pemerintah, dan organisasi di sektor utilitas, farmasi, serta pengiriman dan logistik, menurut laporan yang diterbitkan oleh perusahaan keamanan siber AS Mandiant.

Sebelumnya, pada 2017 dan 2018, grup fokus pada sektor keuangan, ritel, dan restoran.

Aktivitas yang terkait dengan FIN11 pertama kali terungkap pada tahun 2016, tetapi Mandiant sekarang telah ‘meluluskan’ aktor ancaman ke status ‘FIN’, grup ancaman keuangan pertama yang mendapatkan penunjukan dalam tiga tahun.

Salah satu alasan promosi grup tersebut adalah beralihnya ke pemerasan hibrida, “menggabungkan ransomware dengan pencurian data untuk menekan korbannya agar menyetujui tuntutan pemerasan”, dengan tuntutan tebusan mencapai hingga US $10 juta.

Grup tersebut menggunakan file Microsoft Office yang berbahaya untuk memberikan iming-iming keuangan konvensional termasuk ‘pesanan penjualan’, ‘laporan bank’, dan ‘faktur’, tetapi baru-baru ini mereka menargetkan perusahaan farmasi dengan iming-iming termasuk ‘laporan penelitian’ dan bahkan ‘kecelakaan laboratorium’. Dokumen tersebut mengirimkan pengunduh FRIENDSPEAK, yang pada gilirannya menyebarkan backdoor MIXLABEL.

Elliot Rose, kepala cybersecurity di PA Consulting, mengatakan penunjukan grup FIN baru melanjutkan tren yang sedang berkembang.

Kelompok ancaman FIN berbeda dari kelompok APT sejauh mereka biasanya lebih canggih dan menuntut tanggapan yang berbeda dari tim keamanan.

“Mereka cenderung menargetkan korban mereka melalui analisis media sosial dan spear phishing terkait, yang telah menyebabkan pelanggaran informasi yang serius, dan mereka mendaftar, melalui perusahaan palsu, yang tidak bersalah dalam bentuk pentester dan pengembang, untuk membantu mereka dalam aktivitas kriminal mereka.” jelas Rose.

Ini berarti bahwa “pendidikan karyawan memainkan peran kunci, di samping teknologi, dalam memerangi ancaman. Itu berarti memberi tahu mereka untuk sangat berhati-hati dengan apa yang mereka posting di media sosial atau untuk menghindari mengklik tautan di email atau mengungkapkan informasi kepada siapa pun bahwa mereka tidak sepenuhnya yakin siapa yang mereka katakan. Berpikir sebelum Anda mengeklik adalah pertahanan utama!”

Laporan tersebut dapat diakses melalui layanan intelijen ancaman Mandiant.

Berita selengkapnya:
Source: The Daily Swig

Grup peretas kriminal besar ini baru saja beralih ke serangan ransomware

October 15, 2020 by Winnie the Pooh

Operasi peretasan yang tersebar luas yang telah menargetkan organisasi di seluruh dunia dalam kampanye phishing dan malware yang telah aktif sejak 2016 kini telah beralih ke serangan ransomware, yang mencerminkan betapa suksesnya ransomware telah menjadi alat penghasil uang bagi penjahat siber.

Dijuluki FIN11, kampanye tersebut telah dirinci oleh para peneliti keamanan siber di FireEye Mandiant, yang menggambarkan para peretas sebagai ‘kelompok kejahatan keuangan mapan’ yang telah melakukan beberapa kampanye peretasan yang paling lama berjalan.

Grup ini mulai dengan memfokuskan serangan pada bank, pengecer, dan restoran, tetapi telah berkembang dengan menargetkan berbagai sektor di berbagai lokasi di seluruh dunia tanpa pandang bulu, mengirimkan ribuan email phishing dan secara bersamaan melakukan serangan terhadap beberapa organisasi pada satu waktu.

Dengan keuangan menjadi fokus grup, kemungkinan FIN11 menjual informasi ini kepada penjahat siber lainnya di dark web, atau hanya mengeksploitasi detailnya untuk keuntungan mereka sendiri.

Namun sekarang FIN11 menggunakan jaringannya yang luas sebagai sarana untuk mengirimkan ransomware ke jaringan yang dikompromikan, dengan para penyerang lebih menyukai Clop ransomware dan menuntut bitcoin untuk memulihkan jaringan.

Dalam upaya untuk memeras korban agar membayar tebusan, beberapa geng ransomware telah menggunakan akses mereka ke jaringan untuk mencuri data sensitif atau pribadi dan mengancam akan membocorkannya jika mereka tidak menerima pembayaran untuk kunci dekripsi – FIN11 telah mengadopsi taktik ini, mempublikasikan data dari korban yang tidak membayar.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

FIN11

Cookies Settings