Новая вымогательская группировка FIN12 атакует медицинские организации

Киберпреступная группировка, получившая название FIN12, атакует медицинские организации с использованием вымогательского ПО Ryuk. По словам специалистов из компании Mandiant, злоумышленники несут ответственность примерно за 20% всех атак с использованием программ-вымогателей, которые эксперты зафиксировали за последние 12 месяцев.

Как отметили специалисты, на взлом компьютерных систем жертв у преступников уходит примерно два с половиной дня, что в два раза быстрее, чем у других хакеров.

«FIN12 — одна из самых агрессивных киберугроз, связанных с программами-вымогателями, которую отслеживает Mandiant. В отличие от других преступников, которые переходят к другим формам вымогательства, данная группировка по-прежнему сосредоточена исключительно на программах-вымогателях, действуя быстрее своих сверстников и поражая крупные цели», — пояснили эксперты.

С начала 2021 года в Mandiant наблюдали значительный рост кибератак FIN12, нацеленных на европейские организации, в том числе базирующиеся во Франции, Ирландии, Испании и Великобритании. FIN12 сфокусирована на атаках на крупные организации со значительными доходами.

Как отметили исследователи, FIN12 не взламывала сети жертв самостоятельно, а получала первоначальный доступ от своих партнеров, в частности через операторов ботнета TrickBot и вредоноса BazarLoader.

Получив доступ к компьютерной сети жертвы, FIN12 почти всегда использует Cobalt Strike. Группировка также использует ряд других тактик обеспечения персистентности, перемещения по сети и повышения своих привилегий до установки Ryuk.

Как полагают эксперты, FIN12 является партнером Conti и в значительной степени полагается на других разработчиков вредоносов для получения доступа к сетям организаций. Предположительно, партнеры FIN12 взламывают несколько целей, а затем позволяют FIN12 выбирать из списка жертв для осуществления дальнейших атак.