Uno de los grupos de ciberdelincuentes más peligroso del panorama mundial, FIN11, ha cambiado sus dinámicas de ataque. Así lo advierte un informe de Mandiant, que pone de relieve que esta banda, que durante los años anteriores se había dirigido principalmente a las entidades financieras, diversificó sus objetivos y ha elegido el ransomware y el phishing como amenazas preferentes.

FIN11 lleva activo desde 2012 y, según los expertos, lo más probable es que sus miembros procedan de Europa del Este.

Así lo sugieren las herramientas que utilizan, que también compran en el mercado negro, aunque algunas son exclusivas para el grupo. “Estos ciberdelincuentes son los protagonistas de algunas de las campañas de distribución de malware más importantes y de mayor duración en la industria financiera”, reza el estudio. “Además, sus tácticas no dejan de evolucionar, por lo que han empezado a monetizar sus acciones en otros sectores”.

Fue a partir de 2019 cuando el grupo empezó a utilizar técnicas de phishing y ransomware en otras industrias. Entre los correos maliciosos destacan señuelos genéricos como pedidos de venta falsos o extractos bancarios y facturas, pero algunos de ellos también se han adaptado a diversas industrias específicas de distintos países. Un número significativo de sus víctimas recientes procede de Alemania y del sector farmacéutico.

En sus últimos ataques, los emails contenían un archivo adjunto HTML que redirigía a las víctimas a dominios comprometidos que, además, bloqueaban la actividad de los servicios de seguridad y protección de las compañías. Y, en cuanto al ransomware, el grupo ha creado una página web en la que han publicado datos parciales de empresas que se negaron a pagar.