Un nuovo gruppo di cybercriminali denominato FIN11 ha condotto alcune delle campagne di distribuzione di malware più importanti e più lunghe mai rilevate tra i gruppi FIN fino a oggi; le sue operazioni hanno riguardato un'ampia varietà di settori e regioni geografiche.

Il gruppo si è recentemente concentrato sul ransomware e sull'estorsione, dato che le operazioni di ransomware intrusivo sono diventate molto popolari tra i cyber-criminali.

FIN11 ha avuto un impatto sulle organizzazioni in vari settori e regioni, a livello globale. Ad esempio, in una sola settimana, Mandiant Threat Intelligence ha osservato campagne rivolte all'industria farmaceutica, alle aziende di spedizione e logistica, alle organizzazioni in Nord America e in Europa e a persone fisiche di lingua tedesca e italiana. Oltre alle aziende, FIN11 si è rivolta anche a enti come istituzioni accademiche, agenzie governative e servizi pubblici.

Attivo almeno dal 2016, FIN11 ha utilizzato diffuse campagne di phishing per distribuire malware. Quando è attivo, FIN11 conduce generalmente un grande numero di campagne di phishing alla settimana, ognuna con migliaia di email, e circa ogni mese ne modifica le tattiche di consegna.

Ultimamente, il gruppo utilizza l'estorsione ibrida per monetizzare le proprie operazioni. Utilizzano il ransomware CLOP e minacciano di rilasciare dati esfiltrati per fare pressione sulle loro vittime affinché paghino le richieste di estorsione. Queste richieste variano da poche centinaia di migliaia di dollari fino a 10 milioni di dollari.