Blog

FIN12: El actor de amenaza que apunta directamente al sector de la Salud

Normalmente, la gran mayoría de los actores amenazas dedicados al ransomware pasan un tiempo en la red de la organización víctima buscando datos importantes para robar (y luego ser usados para realizar el chantaje de no divulgación cuando la fase del cifrado de la información no es suficiente), existe actualmente un grupo que favorece el despliegue rápido de malware contra objetivos sensibles y de alto valor. La banda FIN12 puede tardar menos de 2 días en ejecutar en la red objetivo su payload para cifrar los archivos de la víctima, siendo la mayoría de las veces el Ryuk ransomware.

¿Quienes son FIN12?

En resumen, FIN12 es un prolífico actor de amenazas con un fuerte enfoque en ganar dinero mediante los ataques de ransomware desde al menos octubre de 2018. FIN12 es único entre muchos actores centrados en ransomware rastreados en la actualidad, esto es debido porque no suelen participar en múltiples facetas de extorsión y han tenido un impacto desproporcionado en el sector de la salud, seguidos por el sector de la educación, finanzas, manufactureras y tecnologías. Y finalmente, FIN12 tiene como target geográfico principal (2019-2020), Norteamérica. Y hoy en día, están apuntando hacia el contenete europeo, Oceanía y en menor escala, Asía y Latinoamericano.

Se tiene la idea que FIN12 es un grupo de individuos de habla rusa que puede estar ubicado en la región de Comunidad de Estados Independientes (CIS).

El grupo es un gran colaborador colaborador de la banda de botnet’s TrickBot y se dirige a víctimas con grandes ingresos (por encima de los $300 millones de dólares) de diversos sectores de actividades y regiones en todo el mundo. FIN12 se caracteriza por saltarse el paso de exfiltración, es decir, no realiza la actividad de robar información para luego aumentar las posibilidades de cobrar el rescate, algo que muchas bandas de ransomware realizan en sus ataques.

Este atributo le permite al grupo ejecutar los ataques a un ritmo mucho más rápido que otras operaciones de ransomware, tardando menos de 2 días desde comprometer la red de la organización hasta la etapa de cifrado de archivos. Según los datos recogidos en las investigaciones de la empresa Mandiant, la mayoría de las bandas de ransomware que también roban datos tienen un tiempo medio de permanencia de 5 días y el valor medio es de 12,4 días.

FIN12 tiempo promedio para rescatar

¿Cómo opera FIN12?

Una vez conseguido el acceso inicial, el grupo no pierde el tiempo en atacar a sus víctimas y en la mayoría de los casos, comienza su actividad de despliegue el mismo día. FIN12 es conocido por su preferencia por desplegar el ransomware Ryuk, pero la banda también a desplegado Conti, el sucesor de Ryuk, en al menos un ataque investigado por Mandiant.

Siguiendo con la investigación, FIN12 no penetró en las redes de las organizaciones por sí mismo, sino que obtuvo el acceso inicial a través de sus socios, sobre todo mediante TrickBot y BazarLoader. Se afirma que, a pesar de que FIN12 utiliza un «conjuntos de herramientas y servicios que se solapan, como backdoors, droppers y certificados de codificación«, categorizan al grupo como un actor de amenazas distinto porque demostraron que pueden trabajar de forma independiente de las dos familias de malware. El conjunto de vectores de acceso inicial que los investigadores observaron, incluye correos electrónicos de phishing y accesos remotos utilizando Citrix.

FIN12 initial access vectors

Los investigadores creen que una de las opciones que tiene FIN12 para elegir a sus víctimas es a través de un panel de administración de TrickBot que les permite interactuar con las máquinas comprometidas. En su elección de herramientas de post-explotación, la banda se mantiene al día, evolucionando constantemente sus tácticas, técnicas y procedimientos de ataque.

Desde febrero de 2020, una constante en las intrusiones del grupo fue el uso de Cobalt Strike. Antes de eso, hasta mediados de 2019, utilizaban el marco de post-explotación Empire, basado en PowerShell.

Es probable que la banda siga evolucionando y ampliando sus operaciones para incluir el robo de datos como una etapa más común de un ataque, ya que empiezan a colaborar con un surtido más diverso de ciberdelincuentes (por ejemplo, operaciones de ransomware con un sitio de filtración).

Más información

https://www.mandiant.com/resources/fin12-ransomware-intrusion-actor-pursuing-healthcare-targets

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required