Je zou hopen dat, hoewel ransomware een lucratieve criminele onderneming is, er enkele doelen zijn die om ethische redenen van de lijst worden gehouden.
Dit is niet het geval met FIN12, een groep die op ransomware jaagt op groot wild, waarvan één op de vijf van de slachtoffers van de groep binnen de gezondheidszorg valt.
De inzet van ransomware is een populaire en productieve cybercriminaliteit, met potentiële destructieve gevolgen die zwaarder wegen dan andere vormen van misdaad, zoals rechtstreekse diefstal van gegevens, cryptojacking en bedreigingen van binnenuit.
Alleen al dit jaar is ransomware gebruikt om grote schade aan te richten in spraakmakende gevallen, zoals de wijdverbreide hacking van Microsoft Exchange Server, de aanval op de koloniale pijplijn die brandstoftekorten in de VS veroorzaakte, en de verstoring van toeleveringsketens als gevolg van het compromitteren van systemen van de wereldwijde vleesverpakker JBS USA.
Onderzoek uitgevoerd door KELA in augustus op de ruimte van de initiële toegangsmakelaar (IAB) wees uit dat er maar weinig advertenties voor gezondheidszorg waren die toegang boden, en dus zou je hopen dat deze sector – naast begrafenisdiensten, liefdadigheidsinstellingen en kritieke diensten – misschien worden afgescheiden door ransomware-groepen.
Er was dit jaar echter een ander geval waaruit blijkt dat dit niet altijd het geval is: de val van de Ierse Health Service Executive (HSE) door ransomware, een beveiligingsincident dat wekenlang voor kritieke zorg zorgde.
Als een ransomware-uitbraak de toegang tot belangrijke medische dossiers, afspraakgegevens, behandelnotities en patiëntgegevens beperkt, kan dit leiden tot vertragingen en in het ergste geval tot overlijden, blijkt uit onderzoek van The Ponemon Institute en Censinet.
Donderdag zei Mandiant dat FIN12 — geüpgraded van UNC1878 door het cyberbeveiligingsbedrijf — een financieel gedreven groep is die zich richt op organisaties met een gemiddelde jaaromzet van meer dan $ 6 miljard. Bijna alle slachtoffers van de dreigingsgroep genereren een omzet van minstens $ 300 miljoen.
“Dit aantal kan worden opgedreven door een paar extreme uitschieters en verzamelingsbias, maar FIN12 lijkt zich over het algemeen te richten op grotere organisaties dan de gemiddelde ransomware-partner”, zeggen de onderzoekers.
In gesprek met ZDNet, Joshua Shilko, directeur Analist bij Mandiant zei dat de groep zichzelf een plaats heeft verdiend in de “toplaag van jagers op groot wild” – de operaties die zich richten op de doelen die waarschijnlijk de grootste financiële beloningen opleveren in losgeldbetalingen.
“In alle opzichten is FIN12 de meest productieve ransomware-acteur geweest die we volgen die zich richt op hoogwaardige doelen”, zei Shilko. “De gemiddelde jaaromzet voor FIN12-slachtoffers liep in de miljarden. FIN12 is ook onze meest waargenomen actor bij de implementatie van ransomware.”
Active sinds ten minste 2018, richtte FIN12 zich vroeger op Noord-Amerika, maar meer dan heeft het afgelopen jaar het aantal slachtoffers uitgebreid naar Europa en de regio Azië-Pacific. Mandiant zegt dat FIN12-inbraken nu bijna 20% uitmaken van de incidenten waar het responsteam van het bedrijf sinds september vorig jaar aan heeft gewerkt.
Mandiant
Bedreigingsactoren kopen vaak de eerste toegang tot een doelsysteem om het zoeken naar werkreferenties, VPN-toegang of een softwarekwetsbaarheid die rijp is voor misbruik te voorkomen. Mandiant gelooft met “hoog vertrouwen” dat de groep op anderen vertrouwt voor de eerste toegang.
Zach Riddle, senior analist bij Mandiant vertelde ons:
“Acteurs die aanvankelijke toegang verlenen tot ransomware-operators ontvangen doorgaans betaling in de vorm van een percentage van het losgeld nadat een slachtoffer heeft betaald, hoewel actoren ook toegang tot de netwerken van slachtoffers kunnen kopen voor een vaste prijs.
Terwijl de percentage betaald voor initiële toegang kan waarschijnlijk variëren op basis van verschillende factoren, we hebben bewijs gezien dat FIN12 tot 30-35% van een losgeld heeft betaald aan een vermoedelijke initiële toegangsprovider.”
Ook de cybercriminelen lijken geen moreel kompas te hebben, 20% van de slachtoffers behoort tot de zorgsector. Veel ransomware-as-a-service (RaaS)-outfits staan ziekenhuizen niet toe om het doelwit te worden, maar als gevolg daarvan zegt Mandiant dat het voor FIN12 goedkoper kan zijn om initiële toegang te kopen vanwege de lage vraag elders.
Dit verklaart misschien niet de bereidheid van FIN12 om zich op gezondheidszorg te richten.
“We geloven niet dat anderen die weigeren zich te richten op de gezondheidszorg, een directe correlatie hebben met de bereidheid van FIN12 om zich op deze sector te richten”, aldus Riddle. “FIN12 kan zien dat ziekenhuizen meer bereid zijn om snel losgeld te betalen om kritieke systemen te herstellen in plaats van wekenlang te onderhandelen met actoren en/of het probleem op te lossen. Uiteindelijk zal de kritiekheid van de diensten die zij leveren niet alleen waarschijnlijk resulteren in een hogere kans dat FIN12 een betaling van het slachtoffer ontvangt, maar ook een sneller betalingsproces.”
FIN12 is nauw verbonden met Trickbot, een botnet-operatie die cybercriminelen modulaire opties biedt, waaronder middelen voor misbruik en persistentie. Ondanks dat de infrastructuur door Microsoft is verstoord, zijn de bedreigingsactoren onlangs teruggekeerd met campagnes tegen juridische en verzekeringsmaatschappijen in Noord-Amerika.
Het belangrijkste doel van de groep is om Ryuk-ransomware in te zetten. Ryuk is een productieve en gevaarlijke variant van malware, die niet alleen de typische functies van ransomware bevat – de mogelijkheid om systemen te versleutelen zodat operators betaling kunnen eisen in ruil voor een decoderingssleutel – maar ook nieuwe wormachtige mogelijkheden om zich te verspreiden en te infecteren aanvullende systemen.
Mandiant vermoedt dat FIN12 van Russisch sprekende oorsprong is, waarbij alle momenteel geïdentificeerde Ryuk ransomware-operators deze taal spreken. Bovendien bevat andere malware die door FIN12 wordt gebruikt, Grimagent genaamd – en die tot dusverre niet is verbonden met een andere bedreigingsgroep – bestanden en componenten in het Russisch.
De gemiddelde tijd tot losgeld van FIN12 is slechts minder dan vier dagen, met een snelheid die jaar op jaar toeneemt. In sommige gevallen werd een succesvolle ransomware-campagne in slechts tweeënhalve dag gemanaged.
“Hoewel het mogelijk is dat ze in de toekomst andere backdoors zullen testen of zelfs de ontwikkeling van privétools zullen sponsoren, hebben ze schijnbaar een patroon van het verhullen van hun bakenactiviteit met behulp van kneedbare C2-profielen en het verdoezelen van hun gemeenschappelijke payloads met een reeks in -geheugenladers,” zei Shilko. “Met name acteurs brengen soms ook wijzigingen aan op basis van openbare rapportage en het zou niet verwonderlijk zijn als de groep wijzigingen zou aanbrengen op basis van onze rapportage, maar we verwachten dat deze wijzigingen grotendeels gericht zullen zijn op het beperken van detectie in plaats van het heroverwegen van hun grotere draaiboek.”< /p>
Eerdere en gerelateerde dekking
AI zal een enorme impact hebben op uw gezondheidszorg. Maar er zijn nog steeds grote obstakels te overwinnen
Microsoft heeft grote plannen voor de gezondheidszorg en slaat een andere weg in dan de rest van de grote technologie
Wat is digitale gezondheid? Alles wat je moet weten over de toekomst van de gezondheidszorg
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 