g0085-fin11 - RunkIntel

# FIN11 > [!high] > Grupo financeiramente motivado de língua russa, operador exclusivo do ransomware CLOP, especializado na exploração de vulnerabilidades zero-day em plataformas de transferência de arquivos empresariais (Accellion FTA, MOVEit Transfer, GoAnywhere MFT). Responsável por centenas de vítimas de extorsão globalmente. ## Visão Geral **FIN11** é um grupo de ameaça financeiramente motivado rastreado pela Mandiant, amplamente considerado um subconjunto do cluster histórico **TA505** (Proofpoint). A Microsoft rastreia o mesmo grupo como **Lace Tempest**. O grupo é o operador exclusivo do ransomware **[[s0611-clop-ransomware|CLOP]]** e conduziu algumas das campanhas de extorsão em massa mais impactantes da história recente da cibersegurança. O diferencial tático do FIN11 é a especialização em explorar vulnerabilidades zero-day em plataformas de transferência de arquivos empresariais - produtos amplamente utilizados por grandes corporações para transferências seguras de dados. Esta abordagem permite ao grupo comprometer dezenas ou centenas de organizações com um único zero-day, escalar extorsões em massa e maximizar receita com mínimo esforço operacional. A Mandiant consolidou os clusters UNC2546, UNC2582 e UNC4857 no grupo FIN11, reconhecendo a sobreposição operacional e de infraestrutura. O grupo é ativo desde pelo menos 2016 e continua operando ativamente, adicionando novos produtos ao seu portfólio de alvos regularmente. ## Attack Flow - Exploração Massiva de File Transfer ```mermaid graph TB A["🔍 Identificação de Alvo Varredura de plataformas de transferência de arquivo"] --> B["💥 Exploração Zero-Day CVE-2021-27101 Accellion CVE-2023-34362 MOVEit"] B --> C["🐛 Web Shell Deploy DEWMODE web shell LEMURLOOT web shell"] C --> D["📥 Exfiltração Massiva Dados antes da criptografia T1567 para nuvem"] D --> E["🔒 Criptografia CLOP Ransomware opcional Extorsão dupla"] E --> F["💰 Site CL0P-LEAKS Publicação de dados Pressão para pagamento"] classDef recon fill:#1a1a2e,color:#e0e0ff,stroke:#4a4a8a classDef exploit fill:#7b1c1c,color:#fff,stroke:#a02020 classDef implant fill:#1c4a7b,color:#bfdbfe,stroke:#3b82f6 classDef exfil fill:#4f3d0d,color:#fde68a,stroke:#f59e0b classDef ransom fill:#4f0d1a,color:#fca5a5,stroke:#ef4444 classDef extort fill:#2d1b4e,color:#c4b5fd,stroke:#7c3aed class A recon class B exploit class C implant class D exfil class E ransom class F extort ``` | Técnica | ID | Uso | |---------|-----|-----| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Accellion FTA, MOVEit Transfer, GoAnywhere MFT | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | DEWMODE, LEMURLOOT nos servidores comprometidos | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware CLOP pós-exfiltração | | Exfiltration to Cloud Storage | [[t1567-002-exfiltration-cloud-storage\|T1567.002]] | Dados exfiltrados para infraestrutura de C2 | | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Campanhas de email com Vidar/FlawedAmmyy | ## Arsenal de Malware e Ferramentas ```mermaid graph TB subgraph FileTransfer["Exploração de File Transfer"] A["LEMURLOOT Web shell MOVEit Extração de dados SQL"] B["DEWMODE Web shell Accellion Exfiltração SFTP"] end subgraph Extortion["Cadeia de Extorsão"] C["CLOP Ransomware Criptografia de arquivos Extorsão dupla"] D["CL0P-LEAKS Site Publicação de dados Pressão para pagamento"] end subgraph Initial["Acesso Inicial Tradicional"] E["Vidar Infostealer Roubo de credenciais Dados bancários"] F["FlawedAmmyy RAT Acesso remoto Versão trojanizada de ammyy"] end A --> C B --> C C --> D classDef webshell fill:#1c4a7b,color:#bfdbfe,stroke:#3b82f6 classDef ransom fill:#4f0d1a,color:#fca5a5,stroke:#ef4444 classDef initial fill:#1a3a1a,color:#86efac,stroke:#22c55e class A,B webshell class C,D ransom class E,F initial ``` ## Campanhas de Destaque **Accellion FTA Zero-Day (Dezembro 2020 - Fevereiro 2021):** - CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104 - Comprometimento de 100+ organizações via produto FTA (File Transfer Appliance) - Vítimas incluíram Reserve Bank of New Zealand, QIMR Berghofer, Office of the Washington State Auditor **[[moveit-transfer-exploitation|MOVEit Transfer Zero-Day]] (Maio 2023):** - [[cve-2023-34362|CVE-2023-34362]] - SQL Injection com execução remota de código - Campanha mais impactante: 2.500+ organizações afetadas, 64+ milhões de registros expostos - Incluiu BBC, British Airways, Aer Lingus, Shell, US Department of Energy - CISA emitiu alerta emergêncial em junho de 2023 **GoAnywhere MFT (Janeiro-Fevereiro 2023):** - 130+ organizações comprometidas via zero-day no GoAnywhere MFT - Incluiu Hitachi Energy, Community Health Systems, Saks Fifth Avenue ## Relevância para o Brasil e LATAM > [!latam] > O FIN11 representa ameaça direta e imediata para organizações brasileiras e latino-americanas. Plataformas de transferência de arquivo como MOVEit Transfer e GoAnywhere MFT são utilizadas por grandes corporações, bancos e governo no Brasil. A campanha MOVEit de 2023 afetou organizações em 40+ países, e é altamente provável que empresas brasileiras estejam entre as vítimas não divulgadas. O setor [[financial|financeiro]] brasileiro e organizações de [[healthcare|saúde]] são alvos prioritários históricos do FIN11. O modelo de extorsão dupla do grupo - exfiltração antes da criptografia - significa que o pagamento do resgate não garante a não-públicação dos dados, criando risco regulatório adicional sob a LGPD. Organizações que utilizam plataformas de file transfer empresariais devem: 1. Auditar imediatamente o uso de Accellion FTA, MOVEit Transfer, GoAnywhere MFT 2. Verificar logs de acesso retrospectivos para indicadores de comprometimento 3. Implementar monitoramento contínuo de integridade de arquivos nos servidores de file transfer ## Referências - [1](https://www.mandiant.com/resources/blog/fin11-email-campaigns-precursor-ransomware-data-theft) Mandiant - FIN11: Email Campaigns as Precursor for Ransomware (2020) - [2](https://www.mandiant.com/resources/blog/unc2546-accellion-breach) Mandiant - UNC2546 Exploiting Accellion FTA (2021) - [3](https://www.cisa.gov/news-events/alerts/2023/06/07/cisa-adds-moveit-vulnerability-known-exploited-vulnerabilities-catalog) CISA - MOVEit Transfer Vulnerability Alert (2023) - [4](https://attack.mitre.org/groups/G0061/) MITRE ATT&CK - FIN11 (G0061) - [5](https://www.microsoft.com/en-us/security/blog/2023/06/02/lace-tempest-exploiting-moveit-transfer/) Microsoft - Lace Tempest Exploiting MOVEit Transfer (2023)