Без чест сред крадците: Една от пет цели на хакерската група FIN12 е в здравеопазването

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Надявате се, че въпреки че ransomware е доходоносно престъпно предприятие, може да има някои цели, които да бъдат изключени от списъка по етични причини.

Това е не е така с FIN12, голяма група за лов на рансъмуер, от която една на всеки пет от жертвите на групата е в сектора на здравеопазването.

Разпространението на ransomware е популярна и плодотворна киберпрестъпна дейност, с потенциални разрушителни въздействия, които надвишават други форми на престъпност, като например кражба на данни, криптокрак и вътрешни заплахи.

Само тази година рансъмуерът е бил използван за нанасяне на хаос във високопоставени случаи като широко разпространеното хакерство на Microsoft Exchange Server, атаката Colonial Pipeline, която е причинила недостиг на гориво в САЩ, и прекъсването на веригите на доставки поради компрометиране на системите принадлежащи към глобалната JBS САЩ.

Изследване, проведено от KELA през август върху пространството за първоначален достъп (IAB), установи, че свързаните със здравеопазването реклами, предлагащи достъп, са малко и е много вероятно, така че можете да се надявате, че този сектор-наред с погребални услуги, благотворителни организации и критични услуги-може да бъдат разделени от групи за ransomware.

Имаше обаче друг случай тази година, който показва, че това не винаги е така: падането на Ирландската здравна служба (HSE) на рансъмуер, инцидент със сигурността, който причинява прекъсвания в продължение на седмици на критичните услуги за грижи.

Ако огнището на ransomware ограничава достъпа до ключови медицински досиета, подробности за срещи, бележки за лечение и данни за пациентите, това може да доведе до забавяне и в най -лошите сценарии до смърт, според проучване, проведено от The Ponemon Institute и Censinet.

В четвъртък Mandiant каза, че FIN12 – надграден от UNC1878 от фирмата за киберсигурност – е финансово управлявана група, която е насочена към организации със средни годишни приходи над 6 милиарда долара. Почти всички жертви на групата заплахи генерират приходи от най -малко 300 милиона долара.

“Този брой може да бъде завишен от няколко изключителни отклонения и отклонения в събирането; въпреки това FIN12 обикновено изглежда е насочен към по -големи организации, отколкото средният филиал на ransomware”, казват изследователите.

В разговор пред ZDNet Джошуа Шилко, главен анализатор в Mandiant, заяви, че групата си е спечелила място в „най -високото ниво на ловците на едър дивеч“ – операциите, които се фокусират върху целите, които най -вероятно ще предложат най -големите финансови награди при плащането на откуп.

“По всички мерки FIN12 е най-плодовитият участник в рансъмуера, който проследяваме кой е фокусиран върху цели с висока стойност”, каза Шилко. “Средната годишна сума на жертвите на FIN12 е в милиарди милиони. FIN12 е и нашият най-често наблюдаван участник в внедряването на ransomware.”

Активен поне от 2018 г., FIN12 се фокусира върху Северна Америка, но през последната година разшири обхвата си на жертви в Европа и азиатско -тихоокеанския регион. Mandiant казва, че проникванията на FIN12 сега съставляват близо 20% от инцидентите, върху които екипът за реакция на фирмата е работил от септември миналата година.

Мандиант

Участниците в заплахата често ще купуват първоначален достъп до целевата система, за да прекъснат работата по намиране на работещи идентификационни данни, VPN достъп или софтуерна уязвимост, узряла за експлоатация. Mandiant вярва с „висока увереност“, че групата разчита на другите за първоначален достъп.

Зак Ридъл, старши анализатор в Mandiant, ни каза:

„Актьорите, предоставящи първоначален достъп до оператори на ransomware, обикновено получават плащане под формата на процент от откупа, след като жертвата е платила, въпреки че актьорите могат също да закупят достъп до мрежите на жертвите на определена цена.

Докато процентът, платен за първоначален достъп, вероятно може да варира в зависимост от няколко фактора, видяхме доказателства, че FIN12 е платил до 30-35% от плащането на откуп на предполагаем доставчик на първоначален достъп. “

Киберпрестъпниците изглежда също нямат морален компас, като 20% от жертвите му принадлежат към сектора на здравеопазването. Много екипировки за ransomware-as-a-service (RaaS) не позволяват болниците да бъдат насочени, но в резултат на това Mandiant казва, че може да е по-евтино за FIN12 да закупи първоначален достъп поради ниското търсене другаде.

Това обаче може да не обяснява желанието на FIN12 да се насочи към здравеопазването.

“Ние не вярваме, че други, които отказват да се насочат към здравеопазването, имат пряка връзка с желанието на FIN12 да се насочи към тази индустрия”, коментира Ридъл. “FIN12 може да възприеме, че има по -голяма готовност болниците бързо да плащат откуп за възстановяване на критични системи, вместо да прекарват седмици в преговори с участници и/или отстраняване на проблема. В крайна сметка критичността на услугите, които те предоставят, не само води до по -висока вероятността FIN12 да получи плащане от жертвата, но и по -бърз процес на плащане. “

FIN12 е тясно свързан с Trickbot, операция в ботнет, която предлага модулни опции за киберпрестъпници, включително средства за експлоатация и постоянство. Въпреки, че инфраструктурата е нарушена от Microsoft, наскоро участниците в заплахата се завърнаха с кампании срещу юридически и застрахователни компании в Северна Америка.

Основната цел на групата е да внедри рансъмуер на Ryuk. Ryuk е плодовит и опасен вариант на зловреден софтуер, съдържащ не само типичните функции на ransomware-възможността за шифроване на системи, за да позволи на операторите да изискват плащане в замяна на ключ за декриптиране-но и нови подобни на червеи възможности за разпространение и заразяване допълнителни системи.

Mandiant подозира, че FIN12 е с рускоезичен произход, като всички идентифицирани понастоящем оператори на Ryuk за ransomware говорят на този език. В допълнение, друг злонамерен софтуер, използван от FIN12, наречен Grimagent – и досега оставащ несвързан с никоя друга група заплахи – съдържа файлове и компоненти на руски език.

Средното време за откуп на FIN12 е малко под четири дни, като скоростта му се увеличава през годината. В някои случаи успешна кампания срещу ransomware беше управлявана само за два дни и половина.

„Въпреки че е възможно в бъдеще да тестват други задни врати или дори да спонсорират разработването на частни инструменти, те очевидно са се установили в модел на прикриване на тяхната маякова дейност, използвайки ковъци на C2 профили и замаскирайки общите си полезни товари с редица в -заредители на спомени -каза Шилко. „По -специално, актьорите също понякога правят промени въз основа на публичното докладване и не би било изненадващо, ако групата направи промени въз основа на нашето докладване; въпреки това, ние очакваме, че тези промени до голяма степен ще се съсредоточат върху ограничаването на откриването, а не върху преосмислянето на по -голямата им книга.“


Имате бакшиш? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •