Connect with us

Deutsch

Keine Ehre unter Dieben: Jedes fünfte Ziel der FIN12-Hacking-Gruppe ist im Gesundheitswesen

Published

on

Obwohl Ransomware ein lukratives kriminelles Unternehmen ist, hoffen Sie, dass es einige Ziele gibt, die aus ethischen Gründen von der Liste ausgenommen werden.

Dies ist bei FIN12 nicht der Fall, einer Ransomware-Gruppe für die Großwildjagd, von der jedes fünfte Opfer der Gruppe im Gesundheitssektor tätig ist.

Der Einsatz von Ransomware ist eine beliebte und produktive cyberkriminelle Aktivität, deren potenzielle destruktive Auswirkungen andere Formen der Kriminalität wie reiner Datendiebstahl, Cryptojacking und Insider-Bedrohungen überwiegen.

Allein in diesem Jahr wurde Ransomware verwendet, um in hochkarätigen Fällen wie dem weit verbreiteten Hacking-Wahnsinn von Microsoft Exchange Server, dem Angriff auf die Colonial Pipeline, der in den USA zu Treibstoffknappheit führte, und der Unterbrechung von Lieferketten aufgrund der Kompromittierung von Systemen Verwüstung anzurichten gehört zum globalen Fleischverpacker JBS USA.

Eine im August von KELA durchgeführte Studie über den Bereich Initial Access Broker (IAB) ergab, dass es nur wenige Anzeigen für den Zugang zum Gesundheitswesen gibt von Ransomware-Gruppen getrennt werden.

In diesem Jahr gab es jedoch einen weiteren Fall, der zeigt, dass dies nicht immer der Fall ist: der Sturz des irischen Health Service Executive (HSE) auf Ransomware, ein Sicherheitsvorfall, der die Intensivpflegedienste wochenlang unterbrach.

Wenn ein Ransomware-Ausbruch den Zugriff auf wichtige Krankenakten, Termindetails, Behandlungsnotizen und Patientendaten einschränkt, kann dies zu Verzögerungen und im schlimmsten Fall zum Tod führen, so eine Studie von The Ponemon Institute und Censinet.

Am Donnerstag sagte Mandiant, dass FIN12 – von der Cybersicherheitsfirma von UNC1878 aktualisiert – eine finanziell orientierte Gruppe ist, die sich an Organisationen mit einem durchschnittlichen Jahresumsatz von über 6 Milliarden US-Dollar richtet. Fast alle Opfer der Bedrohungsgruppe erwirtschaften einen Umsatz von mindestens 300 Millionen US-Dollar.

„Diese Zahl könnte durch einige extreme Ausreißer und Sammlungsverzerrungen überhöht werden; FIN12 scheint jedoch im Allgemeinen auf größere Organisationen als den durchschnittlichen Ransomware-Partner abzuzielen“, sagen die Forscher.

Im Gespräch mit ZDNet sagte Joshua Shilko, Principal Analyst bei Mandiant, die Gruppe habe sich einen Platz in der „obersten Stufe der Großwildjäger“ verdient – ​​den Operationen, die sich auf die Ziele konzentrieren, die am wahrscheinlichsten die größten finanziellen Belohnungen bei Lösegeldzahlungen bieten.

„Nach allen Maßstäben war FIN12 der produktivste Ransomware-Akteur, den wir verfolgen, der sich auf hochwertige Ziele konzentriert“, sagte Shilko. “Der durchschnittliche Jahresumsatz der FIN12-Opfer lag im Milliardenbereich. FIN12 ist auch unser am häufigsten beobachteter Akteur bei der Bereitstellung von Ransomware.”

FIN12 ist seit mindestens 2018 aktiv und konzentrierte sich früher auf Nordamerika, hat aber im vergangenen Jahr sein Opferspektrum auf Europa und den asiatisch-pazifischen Raum ausgeweitet. Mandiant sagt, dass FIN12-Einbrüche inzwischen fast 20 % der Vorfälle ausmachen, an denen das Reaktionsteam des Unternehmens seit September letzten Jahres gearbeitet hat.

Mandiant

Bedrohungsakteure kaufen oft den ersten Zugang zu einem Zielsystem, um die mühsame Suche nach funktionierenden Anmeldeinformationen, VPN-Zugriffen oder einer Software-Schwachstelle, die reif für einen Exploit ist, zu vermeiden. Mandiant glaubt mit “hoher Zuversicht”, dass die Gruppe für den ersten Zugang auf andere angewiesen ist.

Zach Riddle, Senior Analyst bei Mandiant, sagte uns:

„Akteure, die den Ransomware-Betreibern den ersten Zugang gewähren, erhalten in der Regel eine Zahlung in Form eines Prozentsatzes des Lösegelds, nachdem ein Opfer bezahlt hat, obwohl Akteure auch Zugang zu den Netzwerken der Opfer zu einem festgelegten Preis erwerben können.

Während der für den Erstzugang gezahlte Prozentsatz wahrscheinlich aufgrund mehrerer Faktoren variieren kann, haben wir Beweise dafür gesehen, dass FIN12 bis zu 30-35% einer Lösegeldzahlung an einen mutmaßlichen Erstzugangsanbieter gezahlt hat.”

Auch die Cyberkriminellen scheinen keinen moralischen Kompass zu haben, 20 % der Opfer gehören dem Gesundheitssektor an. Viele Ransomware-as-a-Service (RaaS)-Outfits erlauben es nicht, Krankenhäuser ins Visier zu nehmen, aber Mandiant sagt, dass es für FIN12 aufgrund der geringen Nachfrage möglicherweise billiger ist, einen ersten Zugang zu kaufen.

Dies erklärt jedoch möglicherweise nicht die Bereitschaft von FIN12, das Gesundheitswesen ins Visier zu nehmen.

„Wir glauben nicht, dass andere, die sich weigern, auf das Gesundheitswesen abzuzielen, in direktem Zusammenhang mit der Bereitschaft von FIN12 stehen, diese Branche ins Visier zu nehmen“, kommentierte Riddle. „FIN12 nimmt möglicherweise wahr, dass Krankenhäuser eher bereit sind, schnell Lösegeld zu zahlen, um kritische Systeme wiederherzustellen, anstatt wochenlang mit Akteuren zu verhandeln und/oder das Problem zu beheben. Letztendlich führt die Kritikalität der von ihnen bereitgestellten Dienste wahrscheinlich nicht nur zu einer höheren Chance, dass FIN12 eine Zahlung vom Opfer erhält, aber auch einen schnelleren Zahlungsprozess.”

FIN12 ist eng mit Trickbot verbunden, einer Botnet-Operation, die Cyberkriminellen modulare Optionen bietet, einschließlich Mittel zur Ausnutzung und Persistenz. Obwohl die Infrastruktur von Microsoft gestört wurde, sind die Bedrohungsakteure kürzlich mit Kampagnen gegen Rechts- und Versicherungsunternehmen in Nordamerika zurückgekehrt.

Das Hauptziel der Gruppe ist die Bereitstellung von Ryuk-Ransomware. Ryuk ist eine produktive und gefährliche Malware-Variante, die nicht nur die typischen Funktionen von Ransomware enthält – die Fähigkeit, Systeme zu verschlüsseln, damit Betreiber eine Zahlung gegen einen Entschlüsselungsschlüssel verlangen können –, sondern auch neue wurmähnliche Fähigkeiten zur Verbreitung und Infektion zusätzliche Systeme.

Mandiant vermutet, dass FIN12 russischsprachigen Ursprungs ist, wobei alle derzeit identifizierten Ryuk-Ransomware-Betreiber diese Sprache sprechen. Darüber hinaus enthält andere Malware, die von FIN12 verwendet wird, die als Grimagent bezeichnet wird und bisher keine Verbindung zu einer anderen Bedrohungsgruppe hat, Dateien und Komponenten in russischer Sprache.

Die durchschnittliche Zeit bis zum Lösegeld beträgt bei FIN12 knapp vier Tage, wobei die Geschwindigkeit von Jahr zu Jahr zunimmt. In einigen Fällen wurde eine erfolgreiche Ransomware-Kampagne in nur zweieinhalb Tagen durchgeführt.

„Obwohl es möglich ist, dass sie in Zukunft andere Hintertüren testen oder sogar die Entwicklung privater Tools sponsern, haben sie sich anscheinend in ein Muster eingelebt, ihre Beacon-Aktivität mit formbaren C2-Profilen zu verschleiern und ihre gemeinsamen Nutzlasten mit einer Reihe von Informationen zu verschleiern -Speicherlader”, sagte Shilko. „Bemerkenswerterweise nehmen Akteure manchmal auch Änderungen auf der Grundlage öffentlicher Berichterstattung vor, und es wäre nicht überraschend, wenn die Gruppe basierend auf unserer Berichterstattung Änderungen vornehmen würde.

Frühere und verwandte Berichterstattung


Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0


Continue Reading

Copyright © 2021 Meta Mag Inc.