勒索软件集团FIN12积极追踪医疗目标

自2018年10月以来，一名“咄咄逼人”的、出于经济动机的威胁行为人被认定与一系列RYUK勒索软件攻击有关，同时与TrickBot关联的威胁行为人保持密切合作关系，并使用Cobalt Strike Beacon有效载荷等公开工具与受害者网络进行互动。

网络安全公司Mandiant将这些入侵归咎于一个俄语黑客组织，该组织被重新命名为FIN12，之前以UNC1878的名义进行跟踪，该组织过分关注收入超过3亿美元的医疗机构，包括教育、金融、制造和技术部门，位于北美、欧洲和亚太地区。

这标志着勒索软件附属组织首次被提升为独特的威胁参与者。

Mandiant的研究人员说：“FIN12依靠合作伙伴获得对受害者环境的初始访问权。”。“值得注意的是，与其他勒索软件威胁参与者广泛采用的多方面勒索策略不同，FIN12似乎优先考虑速度和更高收入的受害者。”

使用初始访问代理来促进勒索软件部署并不是什么新鲜事。2021年6月，来自企业安全公司QueQuoPoT的调查结果显示，勒索软件行动者越来越多地从使用电子邮件信息转移到侵入已经侵入主要实体的网络犯罪企业的购买途径，Ryuk感染主要利用TrickBot和BazaLoader等恶意软件家族获得的访问。

此外，在2021年8月，网络安全公司Kela对初始访问经纪人的深入分析发现，2020年7月至2021年6月期间，网络接入的平均成本为5400美元，选择的演员采取道德立场反对对医疗保健公司的交易准入。FIN12针对医疗行业的目标表明，其最初的访问代理“撒下了更大的网，并允许FIN12参与者在获得访问后从受害者名单中进行选择”

Mundiad还注意到，它在2021年5月观察到，威胁者通过在泄密用户账户内部分发钓鱼邮件活动来在网络中获得立足点，然后才导致部署钴击信标和QualdLoad有效载荷。在二月中旬和2021四月中旬之间的攻击据说也利用了远程登录，通过向受害者Citrix环境保存凭证。

尽管FIN12在2019年末的策略涉及使用TrickBot作为一种手段，以在网络中保持立足点，并执行后期任务，包括侦察、交付恶意软件投递器和部署勒索软件，但该集团一直依靠钴打击信标有效载荷来执行开采后活动。

FIN12也有别于其他入侵威胁参与者，因为它很少参与数据盗窃勒索—；这是一种在受害者拒绝付款时泄露过滤数据的策略—；曼迪安特说，这源于威胁行动方希望迅速行动，打击那些愿意通过最少谈判来解决问题的目标，以恢复关键系统，这或许是他们对攻击医疗网络越来越感兴趣的一个原因。

研究人员说：“在涉及数据盗窃的FIN12项目中，平均赎金时间（TTR）为12.4天（12天，9小时，44分钟），而在未发现数据盗窃的项目中，平均赎金时间为2.48天（2天，11小时，37分钟）。”。“FIN12在不需要加入其他敲诈勒索方法的情况下取得了明显的成功，这可能强化了这种观念。”

Mandiant指出：“[FIN12是]我们正在推广的第一个专门从事攻击生命周期特定阶段的FIN参与者—；勒索软件部署—；同时依靠其他威胁参与者获得对受害者的初始访问权。”。“这种专业化反映了当前的勒索软件生态系统，它由各种松散关联的参与者组成，这些参与者相互合作，但并不完全是相互合作的。”