FIN12 поражает здравоохранение быстрыми и целенаправленными атаками программ-вымогателей

FIN12.jpg

В то время как большинство участников программ-вымогателей проводят время в сети жертвы в поисках важных данных для кражи, одна группа выступает за быстрое развертывание вредоносных программ против чувствительных и ценных целей.
Группе FIN12 может потребоваться менее двух дней, чтобы выполнить в целевой сети полезную нагрузку для шифрования файлов - в большинстве случаев это программа-вымогатель Ryuk.

Быстро движущийся FIN12​

FIN12 - активный злоумышленник, специализирующийся на зарабатывании денег на атаках программ-вымогателей как минимум с октября 2018 года.
Группа является близким партнером банды TrickBot и нацелена на жертв с высоким доходом (более 300 миллионов долларов) из различных секторов и регионов мира.

FIN12 отличается тем, что пропускает этап кражи данных, который используют большинство банд вымогателей, чтобы увеличить свои шансы на получение оплаты.
Этот атрибут позволяет группе выполнять атаки с гораздо большей скоростью, чем другие операции с программами-вымогателями, что занимает у них менее двух дней от первоначального взлома до этапа шифрования файлов.

Согласно данным, собранным в ходе расследований, у большинства банд вымогателей, которые также крадут данные, среднее время ожидания составляет пять дней, а среднее значение - 12,4 дня.

С FIN12 среднее время, проведенное в сети жертвы, ежегодно снижалось, составив менее трех дней в первой половине 2021 года.

FIN12Time2Ransom.jpg
Получив первоначальный доступ, группа не тратила время на нанесение ударов своим жертвам, и в большинстве случаев они начинали деятельность в тот же день.
FIN12 известны тем, что предпочитают использовать программу-вымогатель Ryuk, но банда также использовала Конти, преемника Ryuk, по крайней мере, в одной атаке, расследованной Mandiant.

Во время атаки FIN12 также переправил около 90 ГБ данных нескольким поставщикам облачных хранилищ и дважды вымогал у жертвы, чтобы они не попали в публичное пространство.

Программа-вымогатель Conti появлялась в отдельных случаях в конце 2019 года и делится кодом с Ryuk. Активность Conti возросла в июле 2020 года, когда атаки программ-вымогателей Ryuk стали менее частыми.

Исследователи говорят, что FIN12 также участвовал в других инцидентах с программами-вымогателями, связанными с кражей данных с использованием Ryuk. В этих случаях информация передавалась на машины злоумышленников и не использовалась для вымогательства.

Mandiant заявляет, что с сентября 2020 года почти 20% их мероприятий по реагированию на инциденты связаны с вторжениями FIN12.

Сектор здравоохранения наиболее целевой​

В профиле группы, опубликованном сегодня компанией по кибербезопасности Mandiant, исследователи отмечают, что многие жертвы FIN12 находятся в секторе здравоохранения.
FIN12Vics.jpg
В 2019 и 2020 годах большинство жертв FIN12 находились в Северной Америке - 71% в США и 12% в Канаде.

Начиная с этого года, группа, похоже, сместила акцент на организации за пределами этого региона, нацелившись на компании в Австралии, Колумбии, Франции, Индонезии, Ирландии, Филиппинах, Южной Корее, Испании, Объединенных Арабских Эмиратах и Великобритании.

Организации в секторе здравоохранения были постоянной мишенью для FIN12, даже во время пандемии Covid-19, поскольку почти 20% атак FIN12, которые наблюдала Mandiant, были направлены против организаций в этой отрасли.

Первоначальный доступ TrickBot​

Исследователи отмечают, что FIN12 не взламывал сами сети, но получил первоначальный доступ от своих партнеров, в частности через TrickBot и BazarLoader; наблюдались другие исходные векторы доступа.

Mandiant заявляет, что, несмотря на то, что FIN12 использует «перекрывающиеся наборы инструментов и сервисов, включая бэкдоры, дропперы и сертификаты кодовой подписи», они отслеживают группу как отдельного субъекта угрозы, поскольку они показали, что могут работать независимо от двух семейств вредоносных программ.

Набор начальных векторов доступа, которые наблюдали исследователи, включает фишинговые электронные письма и скомпрометированные удаленные логины в средах Citrix.
FIN12InitialAccess.jpg
Исследователи полагают, что один из вариантов выбора жертв у FIN12 - это административная панель TrickBot, которая позволяет им взаимодействовать со скомпрометированными машинами.

В своем выборе инструментов постэксплуатации банда идет в ногу с тенденциями, постоянно совершенствуя свою тактику, методы и процедуры.
С февраля 2020 года одной из постоянных сторон вторжений группы было использование Cobalt Strike Beacon. До этого, до середины 2019 года, они использовали постэксплуатационный фреймворк Empire на основе PowerShell.

Mandiant сообщает, что после перерыва с 2020 года группа попробовала другие инструменты (например, бэкдоры Convenant / Grunt , GRIMAGENT и Anchor) и вернулась в Beacon к ноябрю 2020 года.

Считается, что FIN12 - это группа русскоязычных лиц, которые могут проживать в регионе Содружества Независимых Государств (СНГ).
Банда, вероятно, будет развиваться дальше и расширять свою деятельность, чтобы включить кражу данных в качестве более частого этапа атаки, поскольку они начнут сотрудничать с более разнообразным набором киберпреступников (например, операции вымогателей с сайтом утечки).

Перевод - Google
Bleeping Computer
 
Назад
Сверху Снизу