Normalmente, la gran mayoría de los actores amenazas dedicados al ransomware pasan un tiempo en la red de la organización víctima buscando datos importantes para robar (y luego ser usados para realizar el chantaje de no divulgación cuando la fase del cifrado de la información no es suficiente), existe actualmente un grupo que favorece el despliegue rápido de malware contra objetivos sensibles y de alto valor. La banda FIN12 puede tardar menos de 2 días en ejecutar en la red objetivo su payload para cifrar los archivos de la víctima, siendo la mayoría de las veces el Ryuk ransomware.
¿Quienes son FIN12?
En resumen, FIN12 es un prolífico actor de amenazas con un fuerte enfoque en ganar dinero mediante los ataques de ransomware desde al menos octubre de 2018. FIN12 es único entre muchos actores centrados en ransomware rastreados en la actualidad, esto es debido porque no suelen participar en múltiples facetas de extorsión y han tenido un impacto desproporcionado en el sector de la salud, seguidos por el sector de la educación, finanzas, manufactureras y tecnologías. Y finalmente, FIN12 tiene como target geográfico principal (2019-2020), Norteamérica. Y hoy en día, están apuntando hacia el contenete europeo, Oceanía y en menor escala, Asía y Latinoamericano.
Se tiene la idea que FIN12 es un grupo de individuos de habla rusa que puede estar ubicado en la región de Comunidad de Estados Independientes (CIS).

El grupo es un gran colaborador colaborador de la banda de botnet’s TrickBot y se dirige a víctimas con grandes ingresos (por encima de los $300 millones de dólares) de diversos sectores de actividades y regiones en todo el mundo. FIN12 se caracteriza por saltarse el paso de exfiltración, es decir, no realiza la actividad de robar información para luego aumentar las posibilidades de cobrar el rescate, algo que muchas bandas de ransomware realizan en sus ataques.
Este atributo le permite al grupo ejecutar los ataques a un ritmo mucho más rápido que otras operaciones de ransomware, tardando menos de 2 días desde comprometer la red de la organización hasta la etapa de cifrado de archivos. Según los datos recogidos en las investigaciones de la empresa Mandiant, la mayoría de las bandas de ransomware que también roban datos tienen un tiempo medio de permanencia de 5 días y el valor medio es de 12,4 días.

¿Cómo opera FIN12?
Una vez conseguido el acceso inicial, el grupo no pierde el tiempo en atacar a sus víctimas y en la mayoría de los casos, comienza su actividad de despliegue el mismo día. FIN12 es conocido por su preferencia por desplegar el ransomware Ryuk, pero la banda también a desplegado Conti, el sucesor de Ryuk, en al menos un ataque investigado por Mandiant.
Siguiendo con la investigación, FIN12 no penetró en las redes de las organizaciones por sí mismo, sino que obtuvo el acceso inicial a través de sus socios, sobre todo mediante TrickBot y BazarLoader. Se afirma que, a pesar de que FIN12 utiliza un «conjuntos de herramientas y servicios que se solapan, como backdoors, droppers y certificados de codificación«, categorizan al grupo como un actor de amenazas distinto porque demostraron que pueden trabajar de forma independiente de las dos familias de malware. El conjunto de vectores de acceso inicial que los investigadores observaron, incluye correos electrónicos de phishing y accesos remotos utilizando Citrix.

Los investigadores creen que una de las opciones que tiene FIN12 para elegir a sus víctimas es a través de un panel de administración de TrickBot que les permite interactuar con las máquinas comprometidas. En su elección de herramientas de post-explotación, la banda se mantiene al día, evolucionando constantemente sus tácticas, técnicas y procedimientos de ataque.
Desde febrero de 2020, una constante en las intrusiones del grupo fue el uso de Cobalt Strike. Antes de eso, hasta mediados de 2019, utilizaban el marco de post-explotación Empire, basado en PowerShell.
Es probable que la banda siga evolucionando y ampliando sus operaciones para incluir el robo de datos como una etapa más común de un ataque, ya que empiezan a colaborar con un surtido más diverso de ciberdelincuentes (por ejemplo, operaciones de ransomware con un sitio de filtración).
Más información
https://www.mandiant.com/resources/fin12-ransomware-intrusion-actor-pursuing-healthcare-targets

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.