Du håper at selv om ransomware er et lukrativt kriminelt foretak, kan det være noen mål som holdes utenfor listen av etiske årsaker.
Dette er ikke tilfelle med FIN12, en ransomware -gruppe med stor jakt, hvorav ett av fem av gruppens ofre er innenfor helsevesenet.
Distribusjonen av ransomware er populær og produktiv cyberkriminell aktivitet, med potensielle ødeleggende konsekvenser som oppveier andre former for kriminalitet, for eksempel rett datatyveri, kryptojacking og insider -trusler.
Bare i år har ransomware blitt brukt til å skape ødeleggelse i høyprofilerte tilfeller som den utbredte Microsoft Exchange Server-hackerturen, Colonial Pipeline-angrepet som forårsaket drivstoffmangel i USA og avbrudd i forsyningskjeder på grunn av kompromiss av systemer tilhører den globale kjøttpakkeren JBS USA.
Undersøkelser utført av KELA i august om den opprinnelige tilgangsmegleren (IAB), fant at helserelaterte annonser som tilbyr tilgang var få og langt imellom, og derfor håper du at denne sektoren-sammen med begravelsestjenester, veldedige organisasjoner og kritiske tjenester-kan deles av ransomware -grupper.
Imidlertid var det en annen sak i år som viser at dette ikke alltid er tilfelle: Irlands Health Service Executive (HMS) fall til ransomware, en sikkerhetshendelse som forårsaket avbrudd i flere uker for kritiske omsorgstjenester.
Hvis et ransomware -utbrudd begrenser tilgangen til viktige medisinske journaler, avtaleinformasjon, behandlingsnotater og pasientdata, kan dette føre til forsinkelser og i de verste scenariene død, ifølge forskning utført av The Ponemon Institute og Censinet.
Torsdag sa Mandiant at FIN12 – oppgradert fra UNC1878 av cybersikkerhetsfirmaet – er en økonomisk drevet gruppe som retter seg mot organisasjoner med en gjennomsnittlig årlig inntekt på over 6 milliarder dollar. Nesten alle trusselgruppens ofre genererer en inntekt på minst 300 millioner dollar.
“Dette tallet kan bli oppblåst av noen få ekstreme ekstremer og innsamling av skjevhet. Imidlertid ser det ut til at FIN12 generelt retter seg mot større organisasjoner enn den gjennomsnittlige ransomware -tilknyttede organisasjonen,” sier forskerne.
Taler til ZDNet, Joshua Shilko, rektor Analytiker ved Mandiant sa at gruppen har tjent seg en plass i “toppsjiktet av storviltjegere” – operasjonene som fokuserer på målene som mest sannsynlig vil tilby de største økonomiske fordelene ved løsepenger.
“Etter alle tiltak har FIN12 vært den mest produktive ransomware-aktøren vi sporer som er fokusert på høyverdige mål,” sa Shilko. “Den gjennomsnittlige årlige inntekten for FIN12-ofre var på flere milliarder. FIN12 er også vår mest observerte ransomware-distribusjonsaktør.”
Aktiv siden minst 2018 fokuserte FIN12 på Nord-Amerika, men over det siste året har utvidet tilbudet til ofre til Europa og Asia -Stillehavsområdet. Mandiant sier at FIN12 -inntrengninger nå utgjør nær 20% av hendelsene firmaets responsteam har jobbet med siden september i fjor.
Mandiant
Trusselaktører vil ofte kjøpe første tilgang til et målsystem for å kutte ut arbeidet med å finne legitimasjon, VPN -tilgang eller et programvaresårbarhet som er moden for utnyttelse. Mandiant mener med “høy tillit” at gruppen er avhengig av andre for første gangs tilgang.
Zach Riddle, senioranalytiker i Mandiant fortalte oss:
“Skuespillere som gir første tilgang til ransomware -operatører mottar vanligvis betaling i form av en prosentandel av løsepengen etter at et offer har betalt, selv om aktører også kan kjøpe tilgang til ofrenes nettverk til en fast pris.
Mens prosent betalt for første tilgang kan trolig variere basert på flere faktorer. Vi har sett bevis på at FIN12 har betalt opptil 30-35% av en løsepenger til en mistenkt leverandør av første tilgang. “
Cyberkriminelle ser heller ikke ut til å ha noe moralsk kompass, og 20% av ofrene tilhører helsesektoren. Mange antrekk for ransomware-as-a-service (RaaS) tillater ikke sykehus å bli målrettet, men som et resultat sier Mandiant at det kan være billigere for FIN12 å kjøpe første tilgang på grunn av lav etterspørsel andre steder.
Dette kan imidlertid ikke forklare FIN12s vilje til å målrette helsetjenester.
“Vi tror ikke at andre som nekter å målrette helse, har en direkte sammenheng med FIN12s vilje til å målrette mot denne bransjen,” kommenterte Riddle. “FIN12 kan oppfatte at det er en større vilje for sykehus til raskt å betale løsepenger for å gjenopprette kritiske systemer i stedet for å bruke uker på å forhandle med aktører og/eller rette opp problemet. Til syvende og sist resulterer kritikken til tjenestene de tilbyr ikke bare sannsynligvis i en høyere sjanse for at FIN12 vil motta en betaling fra offeret, men også en raskere betalingsprosess. “
FIN12 er nært knyttet til Trickbot, en botnettoperasjon som tilbyr nettkriminelle modulære alternativer, inkludert utnyttelses- og utholdenhet. Til tross for at infrastrukturen ble forstyrret av Microsoft, har trusselaktørene nylig kommet tilbake med kampanjer mot juridiske og forsikringsselskaper i Nord -Amerika.
Gruppens hovedmål er å distribuere Ryuk ransomware. Ryuk er en produktiv og farlig variant av skadelig programvare, som ikke bare inneholder de vanlige funksjonene til ransomware-muligheten til å kryptere systemer slik at operatører kan kreve betaling mot en dekrypteringsnøkkel-men også nye ormlignende muligheter for å spre og infisere tilleggssystemer.
Mandiant mistenker at FIN12 er av russisktalende opprinnelse, med alle for tiden identifiserte Ryuk-ransomware-operatører som snakker dette språket. I tillegg inneholder annen skadelig programvare som brukes av FIN12, kalt Grimagent-og så langt er den ikke koblet til noen annen trusselgruppe-filer og komponenter på russisk.
FIN12s gjennomsnittlige tid til gjenløsning er bare under fire dager, og hastigheten øker fra år til år. I noen tilfeller ble en vellykket ransomware-kampanje administrert på bare to og en halv dag.
“Selv om det er mulig at de vil teste ut andre bakdører eller til og med sponser utviklingen av private verktøy i fremtiden, har de tilsynelatende funnet seg inn i et mønster for å skjule sin fyraktivitet ved hjelp av formbare C2 -profiler og tilsløre deres vanlige nyttelaster med en rekke -hukommelseslastere, “sa Shilko. “Spesielt gjør aktører også noen ganger endringer basert på offentlig rapportering, og det ville ikke være overraskende om gruppen gjorde endringer basert på vår rapportering; vi regner imidlertid med at disse endringene i stor grad vil fokusere på å begrense oppdagelsen i stedet for å revurdere deres større spillbok.” < /p>
Tidligere og relatert dekning
AI vil ha stor innvirkning på helsetjenesten din. Men det er fortsatt store hindringer å overvinne
Microsoft har store planer for helsetjenester, og det tar en annen vei til resten av stor teknologi
Hva er digital helse? Alt du trenger å vite om fremtiden for helsevesenet
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 