Du skulle hoppas att även om ransomware är ett lukrativt kriminellt företag kan det finnas några mål som hålls utanför listan av etiska skäl.
Så är inte fallet med FIN12, en grupp med jakt på ransomware, varav var femte av gruppens offer är inom vården.
Utplaceringen av ransomware är populär och produktiv cyberkriminell aktivitet, med potentiella destruktiva effekter som uppväger andra former av brottslighet, såsom rak datastöld, kryptojackning och insiderhot.
Bara i år har ransomware använts för att skapa förödelse i högprofilerade fall som den utbredda Microsoft Exchange Server-hackingresan, Colonial Pipeline-attacken som orsakade bränslebrist i USA och avbrott i leveranskedjor på grund av kompromisser med system som tillhör den globala köttpaketaren JBS USA.
Undersökningar gjorda av KELA i augusti om den initiala tillgångsmäklaren (IAB) -utrymme fann att hälsorelaterade annonser som erbjuder tillgång var få och långt mellan, och så du skulle hoppas att denna sektor-tillsammans med begravningstjänster, välgörenhetsorganisationer och kritiska tjänster-kan delas upp av ransomware -grupper.
Det fanns dock ett annat fall i år som visar att detta inte alltid är fallet: Irlands Health Service Executive (HSE) faller till ransomware, en säkerhetsincident som orsakade störningar i flera veckor för kritisk vård.
Om ett ransomware -utbrott begränsar tillgången till viktiga medicinska journaler, mötesinformation, behandlingsanteckningar och patientdata, kan detta leda till förseningar och i de värsta scenarierna dödsfall, enligt forskning utförd av The Ponemon Institute och Censinet.
På torsdagen sa Mandiant att FIN12 – uppgraderat från UNC1878 av cybersäkerhetsföretaget – är en ekonomiskt driven grupp som riktar sig till organisationer med en genomsnittlig årlig intäkt på över 6 miljarder dollar. Nästan alla hotgruppens offer genererar en intäkt på minst 300 miljoner dollar.
“Detta antal kan blåsas upp av några extrema avvikelser och insamlingsfördomar, men FIN12 verkar i allmänhet rikta sig till större organisationer än den genomsnittliga ransomware -affiliaten”, säger forskarna.
Tala till ZDNet, Joshua Shilko, rektor Analytiker på Mandiant sa att gruppen har förtjänat sig en plats i “högsta jakten på storviltjägare” – verksamheten som fokuserar på de mål som sannolikt kommer att erbjuda de största ekonomiska belöningarna i lösenbetalningar.
“Med alla åtgärder har FIN12 varit den mest produktiva ransomware-aktören som vi spårar som fokuserar på högvärdiga mål”, säger Shilko. “Den genomsnittliga årliga intäkten för FIN12-offer var på flera miljarder. FIN12 är också vår vanligaste aktör för utplacering av ransomware.”
Aktiv sedan åtminstone 2018 fokuserade FIN12 på Nordamerika men över senaste året har utökat sitt offerutbud till Europa och Asien och Stillahavsområdet. Mandiant säger att FIN12 -intrång nu utgör nästan 20% av incidenterna som företagets svarsteam har arbetat med sedan september förra året.
Mandiant
Hotaktörer kommer ofta att köpa initial åtkomst till ett målsystem för att skära bort arbetet med att hitta arbetsuppgifter, VPN -åtkomst eller en mjukvara som är mogen att utnyttja. Mandiant tror med “stort förtroende” att gruppen förlitar sig på andra för att få tillgång till dem.
Zach Riddle, Senior Analyst på Mandiant berättade för oss:
“Aktörer som tillhandahåller initial åtkomst till ransomware -operatörer får vanligtvis betalning i form av en procentandel av lösen efter att ett offer har betalat, även om aktörer också kan köpa åtkomst till offrens nätverk för ett bestämt pris.
Medan procent som betalas för initialåtkomst kan sannolikt variera baserat på flera faktorer, vi har sett bevis på att FIN12 har betalat upp till 30-35% av en lösenbetalning till en misstänkt leverantör av initial åtkomst. “
Cyberkriminella verkar inte heller ha någon moralisk kompass, med 20% av dess offer som tillhör vårdsektorn. Många kläder för ransomware-as-a-service (RaaS) tillåter inte att sjukhus riktas, men som ett resultat säger Mandiant att det kan vara billigare för FIN12 att köpa initialåtkomst på grund av låg efterfrågan någon annanstans.
Detta kanske inte förklarar FIN12: s vilja att rikta in sig på sjukvård.
“Vi tror inte att andra som vägrar att rikta in sig på vården har en direkt korrelation till FIN12: s vilja att rikta sig mot denna bransch”, kommenterade Riddle. “FIN12 kan uppfatta att det finns en högre vilja för sjukhus att snabbt betala lösen för att återställa kritiska system snarare än att spendera veckor med att förhandla med aktörer och/eller åtgärda frågan. I slutändan resulterar kritiken i de tjänster som de tillhandahåller inte bara sannolikt i en högre chans att FIN12 får en betalning från offret, men också en snabbare betalningsprocess. “
FIN12 är nära kopplat till Trickbot, en botnettoperation som erbjuder cyberbrottslingar modulära alternativ inklusive utnyttjande och uthållighet. Trots att infrastrukturen störs av Microsoft har hotaktörerna nyligen återvänt med kampanjer mot juridiska och försäkringsbolag i Nordamerika.
Gruppens främsta mål är att distribuera Ryuk -ransomware. Ryuk är en produktiv och farlig variant av skadlig kod, som inte bara innehåller ransomware typiska funktioner-möjligheten att kryptera system så att operatörer kan kräva betalning mot en dekrypteringsnyckel-men också nya maskliknande funktioner för att sprida och infektera ytterligare system.
Mandiant misstänker att FIN12 är av rysktalande ursprung, med alla för närvarande identifierade Ryuk-ransomware-operatörer som talar detta språk. Dessutom innehåller annan skadlig kod som används av FIN12, kallad Grimagent-och, än så länge, inte ansluten till någon annan hotgrupp-filer och komponenter på ryska.
FIN12: s genomsnittliga löptid är bara under fyra dagar och hastigheten ökar från år till år. I vissa fall hanterades en framgångsrik ransomware-kampanj på bara två och en halv dag.
“Även om det är möjligt att de kommer att testa andra bakdörrar eller till och med sponsra utvecklingen av privata verktyg i framtiden, har de till synes lagt sig i ett mönster för att dölja sin fyrverksamhet med formbara C2 -profiler och dölja deras gemensamma nyttolaster med en rad in -minneslastare, säger Shilko. “I synnerhet gör aktörer ibland också ändringar baserade på offentlig rapportering och det skulle inte vara förvånande om gruppen gjorde ändringar baserat på vår rapportering; vi räknar dock med att dessa förändringar i stor utsträckning fokuserar på att begränsa upptäckten snarare än att tänka om deras större spelbok.” < /p>
Tidigare och relaterad täckning
AI kommer att ha stor inverkan på din vård. Men det finns fortfarande stora hinder att övervinna
Microsoft har stora planer för hälso- och sjukvård, och det tar en annan väg än resten av den stora tekniken. Vad är digital hälsa? Allt du behöver veta om vårdens framtid
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV Datahantering CXO Datacenter 