宽带发展成就不凡但仍存不小挑战 全球产业界需充分协同合作

支持这一评估的是俄语文件元数据，仅在独联体国家以外使用键盘布局的机器上部署Clop勒索软件，并且在俄罗斯新年和东正教圣诞节期间活动减少。

Mandiant认为，FIN11“能够访问的组织网络远远超过他们能够成功盈利的数量”，并根据受害者的位置、地理位置和安全态势来选择是否值得利用。

由于数据盗窃和勒索现在已成为其货币化方法的一部分，FIN11可能会对拥有敏感专有数据的受害者表现出更大的兴趣，这些数据有更高的几率支付赎金来恢复他们的文件。
 

Mandiant今天发布了FIN11活动及其向勒索软件过渡的概述。研究人员将该组织视为一个独立的威胁参与者，注意到它在战术、技术和TA505所使用的恶意软件方面有着显著的重叠。

TA505是另一个高调的网络犯罪团伙，部署了Clop勒索软件。最近，它开始利用Windows中的zeroologon关键缺陷来获取组织的域控制器的管理员级权限。

区分这两个行为体的依据是观察到的活动，以及“在TA505上尚未公开报道的妥协后战术、技术和程序(TTP)的不断发展”

FIN11还使用了Faultedamyy，这是一个恶意软件下载器，在来自TA505和沉默(一个针对世界各地银行的黑客组织)的攻击中都可以看到。这表明这三个组都有一个共同的恶意软件开发人员。

尽管与TA505有很强的相似性，但将某些活动归因于FIN11是很困难的，因为这两个组织都使用恶意软件和犯罪服务提供商，这在某些情况下可能会导致错误归因。

Mandiant hass自2016年以来一直在跟踪FIN11，并通过可独立验证的观察活动对其进行了定义。TA505至少从2014年开始就存在，研究人员并未将其早期操作归因于FIN11。

赚钱策略

针对FIN11扔下Clop勒索软件的事件，Mandiant发现演员在失去访问权限后并没有放弃目标。

在一个案例中，几个月后，他们通过多个电子邮件活动重新危害了公司。在另一个案例中，FIN11在公司从备份中恢复受感染的服务器后重新获得了访问权限。

研究人员没有具体说明他们所调查的事件的赎金要求，但指出勒索软件补救公司Coveware指出，赎金数额在几十万到一千万美元之间。

Mandiant说，有一次他们没有部署Clop勒索软件，演员试图勒索受害者，威胁说要发布或出售被盗数据。

基于CIS的参与者

根据他们的分析，研究人员对FIN11来自独立国家联合体(独联体-前苏联国家)有适度的信心。
 

在这里，True positives（真正例）是指算法检测到一个异常的例子的数量，而它真实情况也是一个异常。

False Positives（假正例）当算法检测到一个异常的例子，但在实际情况中，它不是异常的，就会出现误报。

False Negative（假反例）是指算法检测到的一个例子不是异常的，但实际上它是一个异常的例子。

从上面的公式你可以看出，更高的精确度和更高的召回率总是好的，因为这意味着我们有更多的真正的正例。但同时，假正例和假反例起着至关重要的作用，正如你在公式中看到的那样。这需要一个平衡点。根据你的行业，你需要决定哪一个对你来说是可以忍受的。

一个好办法是取平均数。计算平均值有一个独特的公式。这就是f1分数。f1得分公式为：
 

不要被这个公式中的求和符号弄糊涂了！这实际上是Sigma代表方差。

稍后我们将实现该算法时，你将看到它的样子。

4.我们现在需要找到概率的临界值。正如我前面提到的，如果一个训练例子的概率很低，那就是一个异常的例子。

低概率有多大？

这没有普遍的限制。我们需要为我们的训练数据集找出这个。

我们从步骤3中得到的输出中获取一系列概率值。对于每个概率，通过阈值的设置得到数据是否异常

然后计算一系列概率的精确度、召回率和f1分数。

精度可使用以下公式计算

 

（编辑：漯河站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!