in

Rapid RYUK Ransomware Attack Group bautizado como FIN12



Los objetivos de ransomware son grandes, con un promedio de $ 6 mil millones en ingresos. Implementa ransomware más rápido que la mayoría de los otros grupos en 2,5 días. Las organizaciones de salud se encuentran entre sus principales objetivos. Esta prolífica banda de ransomware, mejor conocida por dejar de lado el sabor RYUK del malware de extorsión y ahora a la que Mandiant se refiere como Cybercrime Group como FIN12, está vinculada a aproximadamente el 20% de todos los ataques de ransomware que Mandiant realizó en el último año que ha examinado.

A diferencia de algunos grupos de ataque de ransomware que se han ocupado de las amenazas de chantaje y las fugas de datos para desarrollar más músculos, hasta ahora FIN12 parece estar destinado a ganar mucho dinero, muy rápidamente.

«Son tan rápidos. Eso es lo que los hace diferentes», dijo John Hultquist, vicepresidente de análisis de inteligencia de Mandiant.

FIN12, que según Mandiant parece ser un grupo de habla rusa y ha estado activo desde al menos octubre de 2018, se especializa en el ataque de ransomware en sí y deja el compromiso inicial a otros grupos. Está estrechamente vinculado a pandillas cercanas a Trickbot y ha estado utilizando la herramienta Cobalt Strike Beacon en sus ataques, así como las herramientas Trickbot e Empire desde febrero de 2020.

La mayoría de las víctimas de FIN12 se han basado tradicionalmente en América del Norte, pero también ha lanzado ransomware en organizaciones en Europa y la región de Asia y el Pacífico, dijo Mandiant en un informe publicado hoy en FIN12. Aproximadamente el 20% de las víctimas de FIN12 eran organizaciones de salud.

Los funcionarios del gobierno de EE. UU. Lanzaron recientemente nuevas iniciativas políticas para frenar el ciberdelito de ransomware. Esta misma semana, el Departamento de Justicia (DoJ) lanzó el Equipo Nacional de Aplicación de la Criptomoneda para tomar medidas enérgicas contra el uso ilegal de la criptomoneda, el canal de pago anónimo elegido por los operadores de ransomware. El Departamento de Justicia también anunció la Iniciativa Civil de Fraude Cibernético para garantizar que los contratistas gubernamentales divulguen sus registros de ciberseguridad y ataques cibernéticos para proteger a las agencias gubernamentales de los ataques cibernéticos relacionados con la cadena de suministro.

El presidente Joe Biden emitió una orden ejecutiva de ciberseguridad en mayo tras el ataque de ransomware Colonial Pipeline. Aun así, no se espera que los ataques de ransomware lucrativos y en su mayoría anónimos disminuyan en el corto plazo. En una sesión de preguntas y respuestas durante la Cumbre de Defensa Cibernética de Mandiants en Washington, DC esta semana, el CEO de Mandiant, Kevin, le preguntó al general Paul Nakasone, Director de la Agencia de Seguridad Nacional (NSA) y Comandante del Comando Cibernético de EE. UU. Sobre ransomware Mandia seguiría siendo una gran amenaza en cinco años. La respuesta de Nakasone: «Todos los días».

La buena noticia es que el gobierno de EE. UU. Está redoblando sus esfuerzos para combatir el ransomware.

“El ransomware es un problema de seguridad nacional. Creo firmemente en eso ”, dijo Nakasone. «Ahora hay un aumento … en la comprensión de cómo atacar el ransomware [attackers] y cómo trabajar mejor juntos [to thwart them], »

La niebla del ransomware
Pero el enigma de las agencias federales, los investigadores y los expertos en respuesta a incidentes es la creciente dificultad de desenmascarar a los verdaderos autores intelectuales detrás de los ataques. No son los desarrolladores de código de ransomware o FIN12 u otros grupos de entrega de ataques de ransomware, sino los delincuentes que localizan objetivos y luego contratan a Fin12 y otros grupos para descargar ransomware en esos objetivos.

Este modelo en capas y por etapas de muchos ataques de delitos cibernéticos hace que sea más difícil llegar o detener a los delincuentes que se ponen en contacto con FIN12 y otros grupos, según Mandiant. El modelo de implementación de ransomware relativamente ágil y rápido de FIN12 es un ejemplo clave de esto.

«Imagínese que tenemos un adversario que está haciendo el 20% del daño en esta área y tiene mucho enfoque en la atención médica y no lo hemos identificado de manera efectiva», señala Hultquist. Dado que FIN12 utiliza el trabajo de otros grupos de delitos informáticos para obtener acceso inicial a las empresas objetivo, solo pueden centrarse en entregar Ryuk u otro ransomware.

Mandiant atribuye a este modelo el hecho de que FIN12 redujo el tiempo de ransomware a la mitad a 2,5 días en la primera mitad de este año, en comparación con los cinco días del año pasado.

«Es probable que estas eficiencias se deban, al menos en parte, a su especialización en una sola etapa del ciclo de vida del ataque que les permite desarrollar su experiencia más rápidamente. FIN12 también parece haber tomado una decisión consciente para priorizar la velocidad, ya que rara vez lo hemos hecho. hecho.» observó que estos actores de amenazas extorsionan el robo de datos «, dijo Mandiant en su informe.» Sin embargo, es plausible que estos actores de amenazas estén evolucionando sus operaciones para incluir el robo de datos con mayor frecuencia en el futuro. Por ejemplo, FIN12 podría identificar ciertas industrias que están tienen más riesgo de exposición de datos como tiempo de inactividad debido a un ataque de ransomware y optan por «utilizar esta táctica contra estos objetivos cuando se consideran particularmente valiosos».

Hultquist dice que el primer actor de amenazas en identificar e infectar a víctimas lucrativas y de alto perfil a menudo se olvida en la niebla del ransomware. Esto permite que las víctimas y los investigadores se concentren excesivamente en la fase de ransomware del ataque.

«El problema es que nuestra percepción sólo gira en torno a la última milla de su penetración», dice sobre esta mentalidad. «Todo lo que pensamos es que REvil te ha pirateado [ransomware]. De hecho, fuiste pirateado por un socio de REvil «.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Navegación por las vulnerabilidades de recorrido de ruta en aplicaciones Java

Surface Framework: herramienta para la detección de superficies de ataque de red internas y externas