Группа виртуальных вымогателей FIN12 ведет агрессивное наступление на здравоохранение
Впервые «агрессивные» вымогатели были замечены в октябре 2018 года как причастные к серии атак, в которых задействовался шифровальщик Ryuk. При этом хакеры тесно сотрудничают с другими командами, оперирующими через TrickBot, и используют для взаимодействия с сетями жертв публично доступный арсенал инструментов, таких как маячки Cobalt Strike.
Компания Mandiant, предоставляющая услуги в сфере кибербезопасности, подозревает, что за атаками стоит русскоязычная группировка, которая ранее отслеживалась как UNC1878, а недавно была переименована в FIN12. В приоритете у этой группы хакеров находятся организации здравоохранения с доходностью от $300 миллионов, хотя в целом сфера их действия охватывает в том числе образовательные, финансовые, промышленные, технологические и не только учреждения, расположенные в Северной Америке, Европе и Азиатско-тихоокеанском регионе.
Это первый случай, когда аффилированная группа вымогателей получила статус отдельного объекта угрозы.
«FIN12 получает начальный доступ к целевым системам с помощью партнеров», — говорит исследователь из Mandiant. — «Примечательно, что вместо многостороннего вымогательства, тактики, широко используемой другими подобными группировками, FIN12 отдает предпочтение скорости и выбирает жертв со сверхвысокими доходами».
Использование посредников для получения начального доступа уже не ново. В июне 2021 исследование компании Proofpoint выявило, что все больше операторов вымогательского ПО переходят от тактики проникновения в сети жертв через электронные письма к приобретению доступа у киберкриминальных корпораций, уже внедрившихся в крупные субъекты. В качестве самого вымогателя используется Ryuk, который в основном устанавливается вторично через такие семейства троянов, как TrickBot и BazarLoader.
Более того, углубленный анализ провайдеров начального доступа, проведенный исследователями кибербезопасности из компании KELA в августе 2021, показал, что средняя стоимость доступа к сети составляет $5,400 на период с июля 2020 по июнь 2021 года. При этом некоторые злоумышленники устанавливают этический запрет на продажу доступа к организациям здравоохранения.
Нацеленность же FIN12 на эту сферу предполагает, что провайдеры первичного доступа охватили более обширный спектр организаций и позволяют операторам FIN12 выбирать жертв из списка уже после получения доступа.
Cпециалисты Mandiant заметили, что в мае 2021 злоумышленники закреплялись в сетях посредством фишинговых атак через электронные письма, которые рассылали внутри организаций со взломанных аккаунтов пользователей, вслед за чем проводили внедрение полезных нагрузок Cobalt Strike или WEIRDLOOP. Заявлено, что в атаках, зафиксированных с середины февраля по середину апреля 2021, также использовалась удаленная авторизация через учетные данные жертв в рабочих средах Citrix.
Если в конце 2019 года тактика FIN12 строилась на закреплении в целевых системах с помощью TrickBot и последующем выполнении основных атак, включая разведку, доставку дропперов и развертывание вымогателей, то позднее группировка планомерно переключилась на выполнение пост-эксплуатационных действий через полезные нагрузки Cobalt Strike.
При этом FIN12 отличает от других вымогателей то, что операторы редко опираются на кражу данных — тактику, используемую для слива информации, в случаях, когда жертва отказывается платить. Это, как говорят в Mandiant, противоречит стремлению хакеров действовать быстро и атаковать цели, которые предпочитают решать вопросы с минимумом переговоров, стараясь скорее восстановить критически важные системы. Вероятно, именно этот фактор и явился решающим при выборе группировкой именно сферы здравоохранения.
«Среднее время до получения выкупа (TTR) среди известных нам эпизодов с FIN12 в случаях с кражей данных составило 12.4 дня (12 дней 9 часов и 44 минуты) против 2.48 дней (2 дня 11 часов и 37 минут) для случаев, в которых кражи данных не происходило», — сообщили исследователи. — «Наглядный успех FIN12, не требующий подключения дополнительных методов вымогательства, подтверждает догадку о причине выбора именно здравоохранения».
Дополнительно в Mandiant отмечают, что:
«FIN12 стала первой продвинутой до уровня отдельной угрозы FIN (финансово-мотивированной группой), специализирующейся на конкретной фазе цикла атаки — развертывании вымогателя — при одновременном использовании посредников для получения первичного доступа к системам жертв. Эта специфика отражает текущую экосистему вымогателей, состоящую из различных слабосвязанных хакерских групп, которые сотрудничают в общей схеме, но не конкретно друг с другом».