微信图片_20211008144558

勒索病毒组织 FIN12 采用新模式进行网络攻击

  • 浏览次数 16784
  • 喜欢 0
  • 评分 12345

它的攻击目标主要是一些国外大型企业与机构,从这些大型企业获得高额的赎金,平均收入为60亿美元。

它能在2.5天内部署勒索软件,这速度比大多数组织都要快。

医疗保健组织是其主要目标之一。

这个活动频繁的勒索软件团伙是FIN12,因使用RYUK勒索恶意软件而为人所知,网络安全公司Mandiant称该组织与去年调查的约20% 的勒索软件攻击有关。

与一些勒索软件攻击组织不同,FIN12迄今为止似乎都是为了赚大钱——而且是很快的。“他们速度太快了。这就是他们的不同之处,”Mandiant 情报分析副总裁John Hultquist如此说道。

Mandiant 表示,FIN12似乎是一个讲俄语的组织,至少自2018年10月以来一直在活动。 FIN12专门从事勒索软件攻击。它与Trickbot团伙关系密切,自2020年2月以来,它在攻击中使用了 Cobalt Strike Beacon 工具,以及Trickbot和Empire工具。

Mandiant 在发布的关于FIN12一份报告中说,FIN12的大多数受害者通常都在北美,但它也向欧洲和亚太地区的组织投放勒索软件。大约20% 的 FIN12受害者是医疗保健组织。

美国政府官员最近一直在制定新的政策举措,以遏制勒索软件网络犯罪。就在本周,美国司法部(DoJ)成立了国家加密货币执法小组(National Cryptocurrency Enforcement Team) ,以打击非法使用加密货币的行为,因为加密货币是勒索软件运营商选择的匿名支付渠道。美国司法部还宣布了“民事网络欺诈倡议”(Civil Cyber-Fraud Initiative) ,以确保政府承包商公开其网络安全协议和网络攻击,从而保护相关机构免受与供应链相关的网络攻击。

在科洛尼尔管道运输公司遭受软件攻击之后,美国总统拜登在五月份发布了一项网络安全行政命令。即便如此,勒索软件攻击由于其利润丰厚和匿名性,数量也不会很快减少。本周,在华盛顿举行的 Mandiant 网络防御峰会上,Mandiant 公司首席执行官凯文•曼迪亚在一个主题问答环节中向国家安全局(NSA)局长、美国网络司令部司令Gen. Paul Nakasone提问,“五年后勒索软件是否仍将是一个巨大的威胁?”得到的回答是: “每一天。”庆幸的是美国政府正在加倍努力打击勒索软件。

但联邦调查局、研究人员和事件反应专家面临的难题是,揭露这些攻击的真正主谋越来越困难。他们不是勒索软件代码编写者,也不是 FIN12或其他勒索软件攻击部署组织,而是那些罪犯,他们目标定位精确,通过与 FIN12和其他组织签订合同向目标投放勒索软件。

根据 Mandiant 的说法,这种多层次、分阶段的网络犯罪攻击模式,使得接触或阻止与 FIN12和其他组织签约的犯罪分子变得更加困难。FIN12相对精简和快速部署勒索软件的模型就是这方面的一个典型案例。

“想象一下,如果我们有一个对手在这个领域造成了20% 的损失,而且主要集中在医疗保健方面,而我们还没有有效地识别它们,”Hultquist 说。由于 FIN12利用其他网络犯罪团伙的工作获得了对目标组织的初始访问权,他们可以集中精力部署 Ryuk 或其他勒索软件。Mandiant 公司认为,这种模式使得 FIN12能够在今年上半年将勒索软件的处理时间减少一半,短至2.5天,而在去年尚需5天。

“这些效率的提高可能至少部分归功于它们在攻击过程链中单一阶段的专业化,使它们能够更快地发展自己的专业技能。FIN12似乎也有意优先考虑速度,因为我们很少观察到这些威胁者从事数据盗窃勒索。“然而,这些威胁者也有可能会改变他们的行动,以便在未来更频繁地进行数据盗窃。例如,FIN12可以确定,相比勒索软件攻击造成的停机时间,某些行业更重视数据泄露的威胁,FIN12会选择对那些被认为具有特别高价值的目标使用这种策略。”

 

消息来源:DarkReading,译者:Zoeppo;

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc ” 并附上原文链接

关于作者

Zoe

o(* ̄▽ ̄*)ブ