安全公司曼迪昂特情报公司(Mandiant Intelligence)已经对FIN12发出了警报,FIN12是勒索软件攻击背后的威胁因素,对医疗行业造成了不成比例的影响。
Mandiant将FIN12描述为“侵略性的”和“经济动机的”,专门用于部署勒索软件,同时依靠其他坏人接近受害者。
研究人员在报告中写道:“FIN12的操作说明,当涉及勒索软件攻击时,任何目标都是可以攻击的,包括那些提供关键护理功能的目标。”
他们补充说:“近20%直接观察到的FIN12受害者在医疗行业,而且许多这些机构都运营医疗设施。”
为什么它很重要
Mandiant称,fin12策划的勒索软件攻击可以追溯到多年前,至少到2018年10月。
它专门部署RYUK勒索软件,似乎优先考虑速度和高收入的受害者。值得注意的是,FIN12通常不会窃取受害者的数据或利用其进行敲诈。
报告作者承认:“然而,这些威胁行为者可能会在未来发展他们的行动,更频繁地包含数据盗窃,这是合理的。”
他们说,尽管该组织似乎是“相对行业不可知论者”,但它的行动在医疗保健行业产生了更大的影响。
报告称:“鉴于许多行动者拒绝将目标锁定在这个行业,获得医疗保健机构的服务可能也更容易或更便宜。”“然而,通过将目标锁定在医疗机构,FIN12可能会面临来自执法机构以及希望限制公众曝光的潜在合作伙伴的越来越严格的审查。
“虽然许多威胁行动者禁止以医院为目标,但其他人可能会以医疗机构为目标,因为他们认为这些组织更有可能支付赎金。”
该组织已知的受害者中有近85%在北美,但有一些迹象表明,该地区的目标正在扩大。
报告的作者说:“我们怀疑FIN12很可能是由来自独联体国家的讲俄语的演员组成的。”“FIN12没有针对基于cis的组织和确定的合作伙伴,目前确认的RYUK用户都说俄语。”
Mandiant的专家强调了关注FIN12等入侵行为者的重要性,特别是考虑到他们倾向于在勒索软件“品牌”之间切换。
”性质的改变这些忠诚的一个主要原因就是为什么入侵等运营商FIN12安全团队和组织是重要的理解和跟踪,而不是保持独家关注品牌和ransomware家庭这些运营商选择分配在一个给定的时刻,”他们说。
更大的趋势
美国政府和网络专家在过去几个月里对各种勒索软件发出警告,包括Conti、BlackMatter和LockBit。
与此同时,议员们已经开始采取行动,加强关键基础设施组织的网络安全防御,要么用更多资源的胡萝卜,要么用攻击或支付报告的大棒。
在记录
Mandiant的报告写道:“考虑到FIN12在部署勒索软件中所扮演的特殊角色,以及它们独立于这些家庭工作的能力,以及我们对其他不同的威胁行动者的观察,我们将FIN12视为一个独特的威胁行动者,这些行动者也使用通过这些恶意软件生态系统获得的访问权限部署勒索软件。”
Kat Jercich是《医疗保健IT新闻》的高级编辑。医疗保健IT新闻是HIMSS媒体出版物。
