Un grupo de delincuentes cibernéticos recientemente designado está renunciando a la táctica de doble extorsión generalizada en favor de un enfoque más retro del ransomware, ya que ataca sin piedad a las organizaciones de atención médica que utilizan Ryuk.
Apodado FIN12 por los investigadores de amenazas de Mandiant que lo han estado rastreando durante más de un año, la banda ha sido responsable de aproximadamente el 20% de todas las intrusiones de ransomware a las que Mandiant ha respondido en los últimos 12 meses.
La mayoría de sus ataques han culminado con el despliegue de Ryuk contra sus objetivos, aunque también hay pruebas de que es una filial menor de Conti. FIN12 – el FIN se refiere a “motivados financieramente” en el léxico de Mandiant – es notable en particular porque su tiempo promedio de rescate es de aproximadamente dos días y medio, aproximadamente el doble de rápido que otros actores.
Mandiant dijo que esto resaltaba una creciente preocupación de que tanto los equipos más grandes como el aumento de la eficiencia significan que tales pandillas están mejorando su volumen general de víctimas.
“FIN12 es uno de los actores de amenazas de ransomware más agresivos rastreados por Mandiant”, dijo la directora de análisis de delitos financieros de Mandiant, Kimberly Goody. “A diferencia de otros actores que se están diversificando hacia otras formas de extorsión, este grupo permanece enfocado puramente en ransomware, avanzando más rápido que sus pares y alcanzando grandes objetivos.
“Están detrás de varios ataques al sistema de salud y se enfocan principalmente en las víctimas de altos ingresos”, dijo.
“Nada es sagrado para estos actores: perseguirán hospitales e instalaciones de atención médica, servicios públicos e infraestructura crítica. Esto ilustra que eligen no cumplir con las normas “.
Jamie Collier, consultor de inteligencia de amenazas cibernéticas de Mandiant, dijo que si bien la pandilla con sede en Rusia había limitado en gran medida sus objetivos a las organizaciones norteamericanas, ahora representaba una amenaza creciente en este lado del Océano Atlántico.
“Mandiant ha observado un aumento significativo en las operaciones de FIN12 dirigidas a organizaciones europeas desde principios de 2021, incluidas aquellas con sede en Francia, Irlanda, España y el Reino Unido”, dijo.
“FIN12 es conocido por apuntar a grandes organizaciones con ingresos significativos. Europa ofrece amplias oportunidades para que los ciberdelincuentes exploten, dada la gran cantidad de grandes economías, así como varias grandes multinacionales que tienen su sede en el continente.
“El aumento de la focalización de FIN12 fuera de América del Norte es emblemático de una tendencia más amplia, con la amenaza del delito cibernético cada vez más grave en Europa”, dijo Collier. “A pesar del gran número de economías desarrolladas, la madurez de la seguridad cibernética de las organizaciones europeas es relativamente heterogénea. Esto presenta claras oportunidades para que los ciberdelincuentes exploten entidades que aún están desarrollando su postura de ciberseguridad “.
Mandiant dijo que el objetivo de las organizaciones sanitarias europeas era de particular preocupación porque, dado que muchos más países europeos gestionan sistemas sanitarios nacionales, como el NHS, un ciberataque tendría un impacto mucho más amplio en la vida de las personas que un ataque a una empresa sanitaria estadounidense privatizada. .
Su equipo de investigación agregó que el mayor enfoque en la lucha contra los ataques de ransomware en los niveles más altos del gobierno de los EE. UU., Con amenazas de repercusiones en el mundo real, incluidas medidas enérgicas contra el lavado de dinero a través de intercambios de cifrado, probablemente también lo hacía menos deseable para pandillas como FIN12 para operar en los EE. UU.
Blitzkrieg de ransomware
La naturaleza de blitzkrieg de un ataque FIN12 se ha hecho posible debido al arduo trabajo de otros en la red clandestina del ciberdelito, y aprovecha al máximo una red de colaboradores para lograr sus objetivos, ni es el actor detrás de Ryuk o Conti, simplemente un afiliado activo. Esencialmente, actúa como la etapa final en una cadena de eventos que conducen a la ejecución de ransomware en una red de destino.
Trabaja en estrecha colaboración con actores asociados con el desarrollo de Trickbot y otros malwares, como Bazarloader, como vector de intrusión inicial, y estas relaciones cercanas parecen haber abierto la puerta a un modelo de intercambio de recursos más diversificado en los últimos 18 meses aproximadamente. . FIN12 ahora parece estar buscando herramientas y servicios de otros actores de amenazas para aumentar la eficiencia de sus ataques.
Habiendo obtenido acceso, FIN12 casi siempre usa Cobalt Strike para interactuar con las redes de víctimas a medida que avanza a través de las fases finales del ataque; la pandilla parece haberse decidido por Cobalt Strike como su herramienta preferida alrededor de febrero de 2020. tácticas para mantener la presencia, moverse lateralmente y elevar sus privilegios, antes de ejecutar a Ryuk.
Mandiant dijo que, si bien FIN12 depende en gran medida de otros para obtener acceso a las organizaciones, es probable que participe en la selección de sus víctimas, como lo demuestra su orientación a los organismos de atención médica con ingresos de más de $ 300 millones. El equipo de investigación cree que los socios y amigos de FIN12 proyectan una amplia red y luego dejan que FIN12 elija de una lista de víctimas una vez que se establece el acceso.