Reklam
Security

FIN12, hızlı ve odaklanmış fidye yazılımı saldırılarıyla sağlık hizmetlerini vuruyor

Çoğu fidye yazılımı aktörü, çalınacak önemli verileri aramak için kurban ağında zaman harcarken, bir grup hassas, yüksek değerli hedeflere karşı hızlı kötü amaçlı yazılım dağıtımını tercih ediyor.

FIN12 çetesinin hedef ağda bir dosya şifreleme yükünü yürütmesi iki günden az sürebilir – çoğu zaman Ryuk fidye yazılımı.

Hızlı hareket eden FIN12

FIN12, en az Ekim 2018’den bu yana fidye yazılımı saldırıları gerçekleştiren ve para kazanmaya güçlü bir şekilde odaklanan üretken bir tehdit aktörüdür.

Grup, TrickBot çetesinin yakın bir ortağıdır ve dünyadaki çeşitli faaliyet sektörlerinden ve bölgelerinden yüksek gelirli kurbanları (300 milyon doların üzerinde) hedefler.

FIN12, çoğu fidye yazılımı çetesinin ödeme alma şanslarını artırmak için benimsediği veri hırsızlığı adımını atlamasıyla karakterize edilir.

Bu öznitelik, grubun diğer fidye yazılımı operasyonlarından çok daha hızlı bir şekilde saldırı gerçekleştirmesine olanak tanıyarak, ilk güvenlik açığından dosya şifreleme aşamasına kadar iki günden daha kısa bir süre geçmesini sağlar.

Araştırmalardan toplanan verilere göre, veri çalan çoğu fidye yazılımı çetesinin medyan kalma süresi beş gün ve ortalama değer 12,4 gündür.

FIN12 ile kurban ağında geçirilen ortalama süre her yıl düşerek 2021’in ilk yarısında üç günden az oldu.

FIN12 fidye için ortalama süre

İlk erişim sağlandıktan sonra grup, kurbanlarına vurarak hiç vakit kaybetmedi ve çoğu durumda aynı gün faaliyete başladı.

FIN12, Ryuk fidye yazılımını dağıtma tercihleriyle biliniyor ancak çete, Mandiant tarafından araştırılan en az bir saldırıda Ryuk’un halefi Conti’yi de kullandı.

Saldırı sırasında FIN12 ayrıca birden fazla bulut depolama sağlayıcısına yaklaşık 90 GB veri sızdırdı ve verileri kamusal alandan uzak tutmak için kurbanı iki kez gasp etti.

Conti fidye yazılımı, 2019’un sonunda münferit olaylarda ortaya çıktı ve kodu Ryuk ile paylaşıyor. Conti etkinliği, Ryuk fidye yazılımı saldırılarının daha seyrek hale gelmesiyle Temmuz 2020’de hız kazandı.

Araştırmacılar, FIN12’nin Ryuk kullanarak veri hırsızlığı içeren diğer fidye yazılımı olaylarına da karıştığını söylüyor. Bu durumlarda, bilgiler saldırganın makinelerine sızdırıldı ve gasp için kullanılmadı.

Mandiant, Eylül 2020’den bu yana olay müdahale angajmanlarının yaklaşık %20’sinin FIN12 izinsiz girişleri için olduğunu söylüyor.

En çok hedeflenen sağlık sektörü

Grubun siber güvenlik şirketi Mandiant tarafından bugün yayınlanan bir profilinde araştırmacılar, birçok FIN12 kurbanının sağlık sektöründe olduğunu belirtiyor.

FIN12 mağduriyeti

2019 ve 2020’de FIN12 kurbanlarının çoğu Kuzey Amerika’da bulunuyordu – %71’i Amerika Birleşik Devletleri’nde ve %12’si Kanada’da.

Bu yıldan itibaren grup, Avustralya, Kolombiya, Fransa, Endonezya, İrlanda, Filipinler, Güney Kore, İspanya, Birleşik Arap Emirlikleri ve Birleşik Krallık’taki şirketleri hedef alarak bu bölgenin dışındaki kuruluşlara odaklanmış görünüyor.

Mandiant’ın gözlemlediği FIN12 saldırılarının neredeyse %20’si bu sektördeki kuruluşlara yönelik olduğundan, sağlık sektöründeki kuruluşlar Covid-19 pandemisi sırasında bile FIN12 için sabit bir hedef olmuştur.

TrickBot’un ilk erişimi

Araştırmacılar, FIN12’nin ağları kendisinin ihlal etmediğini, ancak özellikle TrickBot ve BazarLoader aracılığıyla ortaklarından ilk erişim elde ettiğini belirtiyorlar; diğer ilk erişim vektörleri gözlendi.

Mandiant, FIN12’nin “arka kapılar, damlalıklar ve ortak tasarım sertifikaları dahil örtüşen araç setleri ve hizmetleri” kullanmasına rağmen, iki kötü amaçlı yazılım ailesinden bağımsız olarak çalışabileceklerini gösterdikleri için grubu ayrı bir tehdit aktörü olarak izlediklerini söylüyor.

Araştırmacıların gözlemlediği ilk erişim vektörleri kümesi, kimlik avı e-postalarını ve Citrix ortamlarına güvenliği ihlal edilmiş uzaktan oturum açma işlemlerini içerir.

FIN12 ilk erişim vektörleri

Araştırmacılar, kurbanlarını seçerken FIN12’nin sahip olduğu bir seçeneğin, güvenliği ihlal edilmiş makinelerle etkileşime girmelerine izin veren bir TrickBot yönetim paneli olduğuna inanıyor.

İstismar sonrası araçları tercih eden çete, taktiklerini, tekniklerini ve prosedürlerini sürekli geliştirerek trendlere ayak uyduruyor.

Şubat 2020’den bu yana, grubun izinsiz girişlerinde bir sabit, Kobalt Strike Beacon’ın kullanılmasıydı. Ondan önce, 2019’un ortasına kadar, PowerShell tabanlı Empire sömürü sonrası çerçevesini kullandılar.

Mandiant, 2020’deki aradan sonra grubun diğer araçları denediğini söylüyor (örn. Sözleşme / Grunt, GRIMAGENT ve Anchor arka kapıları) tarafından Kasım 2020’ye kadar Beacon’a geri döndüler.

FIN12’nin, Bağımsız Devletler Topluluğu (BDT) bölgesinde bulunabilecek Rusça konuşan bir grup birey olduğuna inanılıyor.

Çetenin, daha çeşitli siber suçlularla (örneğin, bir sızıntı sitesi olan fidye yazılımı operasyonları) işbirliği yapmaya başladıklarında, veri hırsızlığını bir saldırının daha yaygın bir aşaması olarak içerecek şekilde daha da gelişmesi ve operasyonlarını genişletmesi muhtemeldir.


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün