Quick RYUK Ransomware Attack Group bautizado como FIN12



Sus objetivos de ransomware son grandes, con un promedio de $ 6 mil millones en ingresos. Implementa ransomware más rápidamente que la mayoría de los grupos, en 2,5 días. Las organizaciones sanitarias se encuentran entre sus principales objetivos. Esta prolífica banda de ransomware, mejor conocida por dejar caer el tipo RYUK de malware de extorsión y ahora recibe la designación de grupo de delitos cibernéticos FIN12 por Mandiant, está conectada a aproximadamente el 20% de todos los ataques de ransomware que Mandiant ha investigado el año pasado.

A diferencia de algunos grupos de ataque de ransomware que se han estratificado en amenazas de extorsión y filtraciones de datos para obtener más fuerza, FIN12 hasta ahora parece estar destinado a ganar mucho dinero, muy rápidamente.

«Son tan rápidos. Eso es lo que los separa», dice John Hultquist, vicepresidente de análisis de inteligencia de Mandiant.

FIN12, que según Mandiant parece ser un grupo de habla rusa y activo desde al menos octubre de 2018, se especializa en el ataque de ransomware en sí, dejando el compromiso inicial a otros grupos. Se ha asociado estrechamente con pandillas afiliadas a Trickbot y, desde febrero de 2020, ha empleado la herramienta Cobalt Strike Beacon en sus ataques, así como las herramientas Trickbot e Empire.

La mayoría de las víctimas de FIN12 se han basado tradicionalmente en América del Norte, pero también ha lanzado ransomware en organizaciones en Europa y Asia Pacífico, dijo Mandiant en un informe publicado hoy en FIN12. Alrededor del 20% de las víctimas de FIN12 han sido organizaciones sanitarias.

Los funcionarios del gobierno de los EE. UU. Han estado lanzando recientemente nuevas iniciativas políticas para poner freno al ciberdelito de ransomware. Esta misma semana, el Departamento de Justicia (DoJ) lanzó el Equipo nacional de aplicación de criptomonedas para tomar medidas enérgicas contra el uso ilegal de criptomonedas, el conducto de pago anónimo elegido por los operadores de ransomware. El DoJ también anunció el Iniciativa civil contra el fraude cibernético para garantizar que los contratistas gubernamentales divulguen sus protocolos de ciberseguridad y ciberataques para proteger a las agencias de los ciberataques relacionados con la cadena de suministro.

El presidente Joe Biden emitió una orden ejecutiva sobre ciberseguridad en mayo a raíz del ataque de ransomware Colonial Pipeline. Aun así, no se espera que los ataques de ransomware lucrativos y en su mayoría anónimos disminuyan en el corto plazo. En una sesión de preguntas y respuestas durante la Cumbre de Defensa Cibernética de Mandiant en Washington, DC, esta semana, el CEO de Mandiant, Kevin Mandia, le preguntó al general Paul Nakasone, director de la Agencia de Seguridad Nacional (NSA) y Comandante del Comando Cibernético de EE. UU. será una gran amenaza dentro de cinco años. La respuesta de Nakasone: «Todos los días».

La buena noticia, dijo, es que el gobierno de Estados Unidos está redoblando sus esfuerzos para combatir el ransomware.

«El ransomware es un problema de seguridad nacional. Creo firmemente en eso», dijo Nakasone. «Se está produciendo un aumento repentino … comprensión de cómo conseguir el ransomware [attackers] y cómo asociarse mejor [to thwart them], »

La niebla del ransomware
Pero el enigma para los federales, investigadores y expertos en respuesta a incidentes es la creciente dificultad para desenmascarar a los verdaderos autores intelectuales de los ataques. No son los escritores de código de ransomware, ni FIN12 u otros grupos de implementación de ataques de ransomware, sino más bien los delincuentes que identifican objetivos y luego contratan a Fin12 y otros grupos para lanzar ransomware sobre esos objetivos.

Este modelo en capas y por etapas de muchos ataques de delitos cibernéticos hace que sea más difícil llegar o detener a los delincuentes que contratan a FIN12 y otros grupos, según Mandiant. El modelo de implementación de ransomware relativamente simplificado y rápido de FIN12 es un ejemplo clave de esto.

«Imagínese que tenemos un adversario que hace el 20% del daño en este espacio y está muy centrado en la atención médica, y no lo hemos identificado de manera efectiva», señala Hultquist. Debido a que FIN12 utiliza el trabajo de otros grupos de delitos cibernéticos para obtener el acceso inicial a las organizaciones específicas, entonces pueden concentrarse en implementar Ryuk u otro ransomware.

Mandiant atribuye a ese modelo la posibilidad de que FIN12 redujera a la mitad su tiempo de ransomware a 2,5 días en la primera mitad de este año, en comparación con los cinco días del año pasado.

«Es possible que estas ganancias de eficiencia se deban, al menos en parte, a su especialización en una sola fase del ciclo de vida del ataque, lo que les permite desarrollar su experiencia más rápidamente. FIN12 también aparentemente ha tomado una decisión deliberada para priorizar la velocidad, ya que rara vez lo hemos hecho. observó que estos actores de amenazas participan en la extorsión por robo de datos «, dijo Mandiant en su informe. «Sin embargo, es plausible que estos actores de amenazas puedan evolucionar sus operaciones para incorporar con mayor frecuencia el robo de datos en el futuro. Por ejemplo, FIN12 podría identificar ciertas industrias que sopesan la amenaza de exposición de datos más que el tiempo de inactividad causado por un ataque de ransomware y elegir emplear esta táctica contra esos objetivos si se considera que tienen un valor particularmente alto «.

Hultquist dice que el actor de amenazas inicial que identifica e infecta a víctimas lucrativas y de alto perfil a menudo se olvida en la niebla del ransomware. Por lo tanto, las víctimas y los investigadores pueden concentrarse demasiado en la etapa de ransomware del ataque.

«El problema es que nuestra percepción se trata de la última milla de su intrusión», dice sobre esa mentalidad. «Todo lo que pensamos es que REvil te ha pirateado [ransomware]. De hecho, fuiste pirateado por un afiliado de REvil «.



Enlace a la noticia unique