Du ville håbe, at selvom ransomware er en lukrativ kriminel virksomhed, kan der være nogle mål, der holdes væk fra listen af etiske årsager.
Dette er ikke tilfældet med FIN12, en stor vildtjagt -ransomware -gruppe, hvoraf hver femte af gruppens ofre er inden for sundhedssektoren.
Implementeringen af ransomware er populær og produktiv cyberkriminel aktivitet, med potentielle destruktive virkninger, der opvejer andre former for kriminalitet, såsom direkte datatyveri, kryptojacking og insider -trusler.
Alene i år er ransomware blevet brugt til at skabe ravage i højt profilerede sager som den udbredte Microsoft Exchange Server-hackingoplevelse, kolonial pipeline-angrebet, der forårsagede brændstofmangel i USA og afbrydelse af forsyningskæder på grund af kompromis med systemer tilhører den globale kødpacker JBS USA.
Undersøgelser foretaget af KELA i august om den første adgangsmægler (IAB) plads fandt ud af, at sundhedsrelaterede annoncer, der tilbyder adgang, var få og langt imellem, og så du ville håbe, at denne sektor-sammen med begravelsestjenester, velgørende organisationer og kritiske tjenester-måske blive afskåret af ransomware -grupper.
Der var imidlertid en anden sag i år, der viser, at dette ikke altid er tilfældet: Irlands Health Service Executive (HSE) faldt til ransomware, en sikkerhedshændelse, der forårsagede afbrydelse i flere uger for kritiske plejetjenester.
Hvis et udbrud af ransomware begrænser adgangen til vigtige journaler, aftaleoplysninger, behandlingsnotater og patientdata, kan dette føre til forsinkelser og i de værste scenarier dødsfald, ifølge forskning foretaget af The Ponemon Institute og Censinet.
Torsdag sagde Mandiant, at FIN12 – opgraderet fra UNC1878 af cybersikkerhedsfirmaet – er en økonomisk drevet gruppe, der er målrettet organisationer med en gennemsnitlig årlig omsætning på over 6 milliarder dollars. Næsten alle trusselsgruppens ofre genererer en omsætning på mindst $ 300 millioner.
“Dette tal kan blive oppustet af et par ekstreme ekstremværdier og indsamlingsbias; FIN12 ser imidlertid generelt ud til at målrette mod større organisationer end den gennemsnitlige ransomware -tilknyttede virksomhed,” siger forskerne.
Taler til ZDNet, Joshua Shilko, Principal Analytiker hos Mandiant sagde, at gruppen har tjent sig en plads i “toplaget af storvildtjægere” – de operationer, der fokuserer på de mål, der sandsynligvis vil tilbyde de største økonomiske belønninger i løsesum.
“Efter alle foranstaltninger har FIN12 været den mest produktive ransomware-aktør, som vi sporer, hvem der er fokuseret på mål af høj værdi,” sagde Shilko. “Den gennemsnitlige årlige omsætning for FIN12-ofre var på flere milliarder. FIN12 er også vores hyppigst observerede ransomware-implementeringsaktør.”
Aktiv siden mindst 2018 fokuserede FIN12 tidligere på Nordamerika, men over sidste år har udvidet sit offerområde til Europa og Asien og Stillehavsområdet. Mandiant siger, at FIN12 -indtrængen nu udgør tæt på 20% af de hændelser, firmaets reaktionsteam har arbejdet med siden september sidste år.
Mandiant
Trusselsaktører vil ofte købe indledende adgang til et målsystem for at afskære arbejdet med at finde legitimationsoplysninger, VPN -adgang eller en softwaresårbarhed, der er moden til at udnyttes. Mandiant mener med “høj tillid”, at gruppen er afhængig af andre for første adgang.
Zach Riddle, senioranalytiker hos Mandiant fortalte os:
“Aktører, der giver initial adgang til ransomware -operatører, modtager typisk betaling i form af en procentdel af løsesummet, efter at et offer har betalt, selvom aktører også kan købe adgang til ofrenes netværk til en fast pris.
Mens procentdel betalt for første adgang kan sandsynligvis variere baseret på flere faktorer, vi har set beviser for, at FIN12 har betalt op til 30-35% af en løsesumbetaling til en formodet udbyder af første adgang. “
Cyberkriminelle synes heller ikke at have noget moralsk kompas, idet 20% af dens ofre tilhører sundhedssektoren. Mange ransomware-as-a-service (RaaS) outfits tillader ikke hospitaler at blive målrettet, men som følge heraf siger Mandiant, at det kan være billigere for FIN12 at købe første adgang på grund af lav efterspørgsel andre steder.
Dette kan dog ikke forklare FIN12's vilje til at målrette mod sundhedsydelser.
“Vi mener ikke, at andre, der nægter at målrette mod sundhedsydelser, har en direkte sammenhæng med FIN12's vilje til at målrette mod denne branche,” kommenterede Riddle. “FIN12 kan opfatte, at der er en større vilje for hospitaler til hurtigt at betale løsesum for at gendanne kritiske systemer frem for at bruge uger på at forhandle med aktører og/eller afhjælpe problemet. I sidste ende resulterer kritikken af de tjenester, de leverer, ikke kun sandsynligvis i en højere chance for, at FIN12 vil modtage en betaling fra offeret, men også en hurtigere betalingsproces. “
FIN12 er tæt knyttet til Trickbot, en botnet -operation, der tilbyder cyberkriminelle modulære muligheder, herunder udnyttelses- og vedholdenhed. På trods af at infrastrukturen blev forstyrret af Microsoft, er trusselsaktørerne for nylig vendt tilbage med kampagner mod juridiske og forsikringsselskaber i Nordamerika.
Gruppens hovedmål er at implementere Ryuk ransomware. Ryuk er en produktiv og farlig variant af malware, der ikke kun indeholder ransomware's typiske funktioner-muligheden for at kryptere systemer, så operatører kan kræve betaling mod en dekrypteringsnøgle-men også nye ormlignende muligheder for at sprede og inficere yderligere systemer.
Mandiant formoder, at FIN12 er af russisktalende oprindelse, idet alle i øjeblikket identificerede Ryuk-ransomware-operatører taler dette sprog. Derudover indeholder anden malware, der bruges af FIN12, kaldet Grimagent-og indtil videre ikke er forbundet med nogen anden trusselsgruppe-filer og komponenter på russisk.
FIN12's gennemsnitlige tid til løsesum er bare under fire dage, hvor hastigheden stiger år for år. I nogle tilfælde blev en vellykket ransomware-kampagne administreret på bare to og en halv dag.
“Selvom det er muligt, at de vil afprøve andre bagdøre eller endda sponsorere udviklingen af private værktøjer i fremtiden, har de tilsyneladende slået sig ned i et mønster af forklædning af deres beacon -aktivitet ved hjælp af formbare C2 -profiler og tilsløring af deres fælles nyttelast med en række i -hukommelseslastere, “sagde Shilko. “Især gør aktører også nogle gange ændringer baseret på offentlig rapportering, og det ville ikke være overraskende, hvis gruppen foretog ændringer baseret på vores rapportering; vi forventer dog, at disse ændringer stort set ville fokusere på at begrænse opdagelse frem for at gentænke deres større playbook.” < /p>
Tidligere og relateret dækning
AI vil have stor indflydelse på dit sundhedsvæsen. Men der er stadig store forhindringer at overvinde
Microsoft har store planer for sundhedspleje, og det går en anden vej til resten af big tech
Hvad er digital sundhed? Alt hvad du har brug for at vide om fremtidens sundhedsvæsen
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 