in

Ransomware Group FIN12 aborda agresivamente los objetivos de salud


A partir de octubre de 2018, se identificó un actor de amenazas «agresivo» con motivaciones financieras, vinculado a una variedad de ataques de ransomware RYUK, al tiempo que se mantienen estrechas asociaciones con actores de amenazas relacionados con TrickBot y un arsenal de herramientas disponibles públicamente, como los usos de cargas útiles de Cobalt Strike Beacon. para la interacción con las redes de víctimas.

La firma de ciberseguridad Mandiant atribuyó los allanamientos a un grupo de piratas informáticos de habla rusa, con nombre en código FIN12, previamente rastreado como UNC1878, con un enfoque desproporcionado en organizaciones de salud con ingresos de más de $ 300 millones, incluyendo educación, finanzas, manufactura y tecnología. en América del Norte, Europa y Asia Pacífico.

«FIN12 depende de socios para obtener acceso inicial a los entornos de las víctimas», dijeron los investigadores de Mandiant. «Cabe destacar que, en lugar de realizar una extorsión multifacética, FIN12 es una táctica ampliamente utilizada por otros actores de amenazas de ransomware que prioriza a las víctimas con velocidad y mayores ingresos».

Copias de seguridad automáticas de GitHub

El uso de intermediarios nuevos para facilitar la implementación de ransomware no es nuevo. En junio de 2021, los resultados de la firma de seguridad corporativa Proofpoint mostraron que los actores de ransomware están cambiando cada vez más de usar mensajes de correo electrónico como una forma de entrar a comprar acceso de empresas ciberdelincuentes que ya se han infiltrado en grandes corporaciones, con las infecciones de Ryuk aprovechando principalmente el acceso, obtenido a través de malware. familias como TrickBot y BazaLoader.

El enfoque de FIN12 en el sector de la salud sugiere que sus agentes de acceso por primera vez «proyectan una red más amplia y permiten que los actores de FIN12 elijan de una lista de víctimas una vez que ya se ha obtenido el acceso».

Mandiant también señaló que en mayo de 2021, observó que los actores de amenazas se afianzaban a través de campañas de correo electrónico de phishing distribuidas internamente por cuentas de usuario comprometidas antes de que resultaran en el despliegue de Cobalt Strike Beacon y cargas útiles WEIRDLOOP. También se dice que los ataques entre mediados de febrero y mediados de abril de 2021 explotaron los inicios de sesión remotos al recibir datos de acceso para los entornos Citrix de las víctimas.

Aunque la táctica de FIN12 a fines de 2019 fue utilizar TrickBot para afianzarse en la red y realizar tareas de etapa posterior, incluido el reconocimiento, la implementación de programas maliciosos y la implementación del ransomware, el grupo ha confiado constantemente en Cobalt Strike Beacon desde -Payloads for Realización de actividades posteriores a la explotación.

Prevenir ataques de ransomware

FIN12 también se diferencia de otros actores de amenazas de intrusión en que no participa en la extorsión por robo de datos, una táctica utilizada para filtrar datos exfiltrados cuando las víctimas se niegan a pagar, lo que, según Mandiant, es el resultado del deseo del actor de la amenaza. actuar con rapidez y alcanzar objetivos dispuestos a llegar a un acuerdo con una negociación mínima.

«El tiempo promedio de rescate (TTR) en nuestros compromisos de robo de datos FIN12 fue de 12,4 días (12 días, 9 horas, 44 minutos) en comparación con 2,48 días (2 días, 11 horas, 37 minutos), donde no se observó ningún robo de datos. «, dijeron los investigadores.» El aparente éxito de FIN12 sin la necesidad de incorporar métodos de extorsión adicionales probablemente refuerza esta noción «.

«[FIN12 is the] el primer actor de FIN que patrocinamos para que se especialice en una etapa particular del ciclo de vida del ataque, la entrega de ransomware, mientras confiaba en otros actores de amenazas para el acceso inicial a las víctimas ”, señaló Mandiant. «Esta especialización refleja el ecosistema de ransomware actual, compuesto por varios actores débilmente conectados que se asocian, pero no exclusivamente, entre sí».



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

¿Qué pasa con las 3.800 millones de entradas en la base de datos de Facebook Clubhouse? Muchos ataques de ingeniería social

El hardware refuerza la seguridad de los dispositivos médicos